Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Worm/Luder.A.35 (https://www.trojaner-board.de/37787-worm-luder-a-35-a.html)

rancor 08.04.2007 15:55
Worm/Luder.A.35
 
Antivir hat den Wurm gefunden, zuerst nur in einem Programm, habs in Quarantäbne getan, jetzt ist er auch in c:\_restore drinnen, dort kann ich ihn aber nicht in die Quarantäne stecken, was tun??

Hier mein log-file:

Logfile of HijackThis v1.99.1
Scan saved at 16:44:19, on 08.04.2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\ALCATEL\DRAGDIAG.EXE
C:\PROGRAMME\AONINFORMER\INFORMER.EXE
C:\PROGRAMME\D-TOOLS\DAEMON.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVSCAN.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
D:\EIGENE DATEIEN\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h++p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.bhs-linz.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {82ABCF24-9AAA-40BE-B99B-BECE4BD7BC6B} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [cFosInst_Check] C:\WINDOWS\OEMCFOS2\CFOSINST.EXE -install -loud
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [jservice] C:\PROGRAMME\AONINFORMER\INFORMER.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ChangeAOLRunOnce] C:\Windows\System\ChangeAOLRunOnce.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O14 - IERESET.INF: START_PAGE_URL=h++p://www.medion.de
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - h++p://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h++p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

cosinus 08.04.2007 19:21
Zitat:
jetzt ist er auch in c:\_restore drinnen, dort kann ich ihn aber nicht in die Quarantäne stecken, was tun??
AFAIK musst du dafür die Systemwiederherstellung deaktivieren - folge dem Link in meiner Signatur.
Bis auf ein paar Kleinigkeiten sieht dein Logfile i.O. aus:
Zitat:
O2 - BHO: (no name) - {82ABCF24-9AAA-40BE-B99B-BECE4BD7BC6B} - (no file)
Den Eintrag kannste fixen.
Zitat:
O4 - HKLM\..\RunServices: [ChangeAOLRunOnce] C:\Windows\System\ChangeAOLRunOnce.exe
Ist vermutlich von AOL, scheint aber recht unbekannt zu sein die Datei. Werte die doch bitte vorsichtshalber bei Jotti oder Virustotal aus und poste die Ergebnisse.
Zitat:
C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
Deine Java-Version ist veraltet und muss aktualisiert werden. Deinstalliere die alte Java-Version und installiere die neue Version von hier (runterscrollen zu JAva SE, dort das Java Runtime Environment (JRE) 6 anklicken).

rancor 09.04.2007 10:24
THX, das mit der kurzzeitigen Deaktivierung hab ich dann gleich nach meinem Post sogar auf der Microstoft Knowledge Base gefunden, das dürfte passen.

BHO no file is gefixt.

AUswertung der Aol-ANwendung:
Complete scanning result of "ChangeAolRunOnce.exe", received in VirusTotal at 04.09.2007, 11:09:44 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.7.0 04.09.2007 no virus found
AntiVir 7.3.1.48 04.08.2007 no virus found
Authentium 4.93.8 04.08.2007 no virus found
Avast 4.7.936.0 04.08.2007 no virus found
AVG 7.5.0.447 04.08.2007 no virus found
BitDefender 7.2 04.09.2007 no virus found
CAT-QuickHeal 9.00 04.09.2007 no virus found
ClamAV devel-20070312 04.09.2007 no virus found
DrWeb 4.33 04.09.2007 no virus found
eSafe 7.0.15.0 04.08.2007 no virus found
eTrust-Vet 30.7.3549 04.06.2007 no virus found
Ewido 4.0 04.08.2007 no virus found
FileAdvisor 1 04.09.2007 no virus found
Fortinet 2.85.0.0 04.09.2007 no virus found
F-Prot 4.3.1.45 04.08.2007 no virus found
F-Secure 6.70.13030.0 04.09.2007 no virus found
Ikarus T3.1.1.3 04.09.2007 no virus found
Kaspersky 4.0.2.24 04.09.2007 no virus found
McAfee 5003 04.06.2007 no virus found
Microsoft 1.2405 04.09.2007 no virus found
NOD32v2 2174 04.09.2007 no virus found
Norman 5.80.02 04.09.2007 no virus found
Panda 9.0.0.4 04.08.2007 no virus found
Prevx1 V2 04.09.2007 no virus found
Sophos 4.16.0 04.06.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.09.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.09.2007 no virus found
VirusBuster 4.3.7:9 04.08.2007 no virus found
Webwasher-Gateway 6.0.1 04.09.2007 no virus found

Aditional Information
File size: 75776 bytes
MD5: 4c696efbca8be5189a683fd6a13c12a9
SHA1: e0ce11f9b4427f8eb314a9fee39671a3de65ab66

Schaut auch gut aus.

JAVA ist upgedatet!!

Großen Dank, wieder einmal habt ihr mir geholfen!

Haze 09.04.2007 11:58
Zitat:
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Die Kiste sollte erstmal auf den neuesten Stand gebracht werden , bevor daran rumgedoktort wird !

Sunny 09.04.2007 12:00
Zitat:
Zitat von Haze (Beitrag 261797)
Die Kiste sollte erstmal auf den neuesten Stand gebracht werden , bevor daran rumgedoktort wird !
Was soll er denn auf den neusten Stand bringen? :confused:

Das System ist auf dem neusten Stand der Dinge, mehr geht nicht. ;)

Abgesehen davon:

@rancor

Versuch mal folgendes:

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles üb erprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)

Ist zwar die Anleitung für Windows XP, sollte aber so in etwa auch zu finden sein. ;)

Sunny

cosinus 09.04.2007 13:42
Hey Sunny, die Anleitung für WinME gibts hier ;)

Clue21 11.04.2007 14:32
Hi, ich nutze mal diesen Thread, weil Antivir heute ebenfalls diesen Wurm bei mir entdeckt hat.

Letzter gefundener Virus: Worm/Luder.A.35

Letzte betroffene Datei: C:\System Volume Information\_restore{4111AE12-39DD-45F8-815A-CC868C4467F6}\RP278\A0046858.exe

Highjackthis erstellt folgende Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 14:54:55, on 11.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Symphony\sw_serv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Me\Desktop\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Search Results
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.fh-flensburg.de:80
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06





Bin über jede Hilfe dankbar.

Grüsse Clue

Sternenschwester 11.04.2007 15:05
Huhu,
wie den Nutzungsbedingungen zu entnehmen ist, wäre es richtiger von dir einen neuen Thread für dein Problem zu eröffnen.

Und wenn du schon dabei bist, solltest du auch den aktiven Link aus deinem Hijackthis-log entfernen. (Steht auch in den Nutzungsbedingungen)

Sunny 11.04.2007 15:07
@Clue21

Wenn du schon den Thread nutzt weil du genau das gleiche Problem hast, warum liest du ihn nicht mal und machst das gleiche was dem anderen User von mir geraten wurde?! ;)

Gruß
Sunny


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131