|
BDS/Delf.mid (von Antivir gefunden) + hijack Log Hallo. Mein Antivir spuckt seit gestern in hoher frequenz folgende Fehlermeldung aus: C:\WINDOWS\system32\lhmcnd.dell (oder großes i statt des "L") enthält ERkennungmuster des Backdoorprogramms BDS/Delf.mid Hab daraufhin mal ein Hijack durlaufen lassen und hier das Ergebnis. Vielen Dank für Hilfe im Voraus Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:47:33, on 01.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Dell\QuickSet\QuickSet.exe C:\Programme\Apoint\Apoint.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe F:\iTunes\iTunesHelper.exe C:\Programme\Apoint\Apntex.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe F:\Logitech\SetPoint II\SetpointII.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe F:\Mozilla Firefox\firefox.exe F:\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/ O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [PostSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\atgban.dll" DllStart O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [iTunesHelper] "F:\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [prunnet] "C:\DOKUME~1\*****\LOKALE~1\Temp\prun.exe" O4 - HKLM\..\Run: [BM87512b92] Rundll32.exe "C:\WINDOWS\system32\cyjxamqr.dll",s O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [prunnet] "C:\DOKUME~1\*****\LOKALE~1\Temp\prun.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\Rtmp\cegmgr76.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Microsoft Office.lnk = F:\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SetPointII.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196178336218 O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://www.adobe.com/products/acrobat/nos/gp.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: pgvtps.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 7603 bytes |
[edit] Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema. Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann. Danke. :) [/edit] |
hmmm, sorry, dachte ich hätte ein eigenes Thema eröffne :/ ist dies nicht nun eines? oder has du es zu einem gemacht? naja hab nochmal ein wenig weiter geschaut und das mit /code... gefunden. hoffe das macht es den Helfern einfacher...wenn denn welche kommen *hilflosguck* :( danke Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, das mit dem eigenen Beitrag bezog sich nicht auf dich, sondern auf xsamrax, der in dein Thema geschrieben hat. Arbeite bitte folgendes ab:ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. lg myrtille |
danke. habe alles step by step durchgeführt. danke schonmal :D hier die logs von combofix und anschließendem hijack combofix : Code: ComboFix 08-10-01.02 - ***** 2008-10-02 16:22:40.2 - NTFSx86Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, Vundo ist seit über nem Monat aufm Rechner, erstelle daher ein FileListing mit diesem script:
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
hmm. hab die datei mit "rechtsklick-speichern unter-desktop" runtergeladen und mit doppelklick ausgeführt. dann öffnet sich der editor, ich seh den quelltext, aber ansonsten passiert nichts. hab ca 10 min gewartet. dauert das länger oder führe ich die datei falsch aus? lg lackmulle |
:D habs nochmal gemacht und dann wars keine .txt sonder eine ausführbare datei.... :D hier der link dazu http://www.file-upload.net/download-1154653/listing1edit.txt.html vielen dank, lackmulle |
EDIT: Ok :D lg myrtille |
Hi, arbeite bitte folgendes ab: Scripten mit Combofix
Code: file::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann lg myrtille |
hehe, nach dem ersten ccleaner und combofix hatte ich das gefühl, daß das problem fast behoben sei - keine fehlermeldungen mehr; nur ein langsamer explorer - aber seit gestern abend kommen nach dem hochfahren des pcs 16! antivir-meldungen, alle des selben textes, mit dem inhalt: trojanerfund in c:\WINDOWS\system32\pgvtps.dll des Virus: TR/Vundo.FPD.21 Mit diesen Virusmeldungen kann ich nichts anfangen - also sie weder schließen, löschen, quarantäne oder was immer. auch sonst lässt sich nichts mehr ausführen. kein explorer, kein arbeitsplatz, kein startmenü. einzig die maus lässt sich bewegen. daher fällt es mir schwer die letzte anweisung (scripten mit comofix) auszuführen. wie gehts weiter? ev im abgesicherten modus? naja schreibe grade vom pc des mitewohners, da ich ja nicht den explorer öffnen kann :( lg Lackmulle |
Hi, hast du folgendes versucht um den Exlporer zu starten: strg+alt+entf eingeben, damit den Taskmanager starten, dann auf Datei, dort auf neuer Task und explorer eingeben. Dann solltest du wieder den Explorer haben. Wenn das nicht geht, dann machen wirs anders. lg myrtille |
Hi Kann zwar mit strg + alt + entf den taskmanager öffnen, aber beim Mausklicken reagiert keins der Symbole. Mit Tastatur (tab + pfeiltasten) kann ich immerhin zwischen den einzelnen Reitern wechseln (anwendung, prozesse...), aber auf Datei auch nicht zugreifen. Also müssen wirs wohl anders versuchen...:party: Danke, Lackmulle |
folgendes :D durch tab, pfeiltasten und enter hab ichs geschafft alle antivir meldungen zu schließen bis nur noch 3 permanent wiederkamen. dann hatte ich kurzzeitig die möglichkeit in der taskleiste antivir zu deaktivieren und hatte wieder die befehlsgewalt über meinen rechner. also explorer gestarted und scripten mit combofix wie empfolen durchgeführt. allerdings konnte ich die datei nicht mit rechtsklick auf combofix ziehen (dann kam nur die meldung "öffnen mit? oder abbrechen). dann hab ichs mit links drauf gezogen und dann startete es. weiß allerdings nicht ob es jetzt mit script durchgelaufen is oder einfach nur so. danach startete jedenfalls der rechner neu ohne fehlermeldungen und mit aktiven antivir. danke, lackmulle hier das combofix log: Code: ComboFix 08-10-04.01 - *** 2008-10-04 19:33:58.3 - NTFSx86 |
Hi, das sieht doch schonmal ganz gut aus. :D Poste bitte ein neues Hijackthislog und berichte über verbleibende Probleme. lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board