Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Vundo / TR/Crypt.XPACK.Gen (https://www.trojaner-board.de/60034-vundo-tr-crypt-xpack-gen.html)

Thinkvision 16.09.2008 20:00
Vundo / TR/Crypt.XPACK.Gen
 
Hallo,

habe heute idiotischerweise ein Image gemounted in dem offenbar ein Trojaner war. Antivir hat gleich Alarm geschlagen:

Code:
16.09.2008 17:33 [Guard] Malware gefunden
      In der Datei 'C:\Programme\PCHealthCenter\2.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

16.09.2008 17:33 [Guard] Malware gefunden
      In der Datei 'C:\Programme\PCHealthCenter\4.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

16.09.2008 17:32 [Guard] Malware gefunden
      In der Datei 'C:\Programme\PCHealthCenter\3.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

16.09.2008 17:32 [Guard] Malware gefunden
      In der Datei 'C:\Programme\PCHealthCenter\2.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

16.09.2008 17:32 [Guard] Malware gefunden
      In der Datei 'C:\Programme\PCHealthCenter\1.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
      gefunden.
      Ausgeführte Aktion: Datei löschen

16.09.2008 17:32 [Guard] Malware gefunden
      In der Datei 'C:\Programme\PCHealthCenter\1.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
      gefunden.
      Ausgeführte Aktion: Datei löschen

16.09.2008 17:32 [Guard] Malware gefunden
      In der Datei 'C:\Programme\PCHealthCenter\0.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
      gefunden.
      Ausgeführte Aktion: Datei löschen

16.09.2008 17:32 [Guard] Malware gefunden
      In der Datei 'C:\Programme\PCHealthCenter\0.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
      gefunden.
      Ausgeführte Aktion: Datei löschen
Habe daraufhin Malwarebytes Anti-Malware installiert der folgendes gefunden hat:

Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1161
Windows 5.1.2600 Service Pack 2

16.09.2008 17:45:43
mbam-log-2008-09-16 (17-45-43).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 50851
Laufzeit: 2 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\khfDuSmn.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\tfyfpwrj.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\pmnmmKaB.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\ptkxfecx.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{382d7db2-3bb8-4479-ba2c-44a87ec02b93} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{382d7db2-3bb8-4479-ba2c-44a87ec02b93} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{38339b28-6c31-4b46-be0d-a5e05079c7c1} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{38339b28-6c31-4b46-be0d-a5e05079c7c1} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{adfd5fd2-2dd2-4572-80da-c74f1193fba1} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmnmmkab (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\e8264c9b (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{adfd5fd2-2dd2-4572-80da-c74f1193fba1} (Trojan.Vundo) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\khfdusmn -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\khfdusmn
Nach dem Neustart konnte er auch die beiden Registrierungschlüssel löschen. Beim nächsten Durchlauf hatt er wieder infizierte Objekte gefunden:

Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1161
Windows 5.1.2600 Service Pack 2

16.09.2008 18:12:40
mbam-log-2008-09-16 (18-12-40).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 96424
Laufzeit: 14 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Hagi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\137BNCUQ\cntr[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hagi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\137BNCUQ\nd82m0[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hagi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHIVJNOX\upd105320[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hagi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQ0QBWTH\cntr[1].gif (Trojan.Vundo) -> Quarantined and deleted successfully.
Hab jetzt noch mal einen kompletten Scan durchlaufen lassen, und Malwarebyte hat nichts mehr gefunden. Mein Hijackthis Logfile schaut jetzt folgendermaßen aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:54:57, on 16.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Programme\nHancer\nHancerService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
c:\Programme\Microsoft IntelliPoint\dpupdchk.exe
D:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
D:\spiele\steam\steam.exe
C:\Dokumente und Einstellungen\Hagi\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
D:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
d:\Programme\Mozilla Firefox 3 Beta 5\firefox.exe
D:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Programme\Notepad++\notepad++.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {D67D22D6-38CE-4189-A65A-2193E0C3E841} - C:\WINDOWS\system32\khfDuSmn.dll (file missing)
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IntelliPoint] "c:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "d:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Hagi\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VPN Client.lnk = ?
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190199338296
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1190199330125
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: sndloc.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - D:\Programme\nHancer\nHancerService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Pro Home 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Pro Home 2007\RpcSandraSrv.exe
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

--
End of file - 9882 bytes

Könnt ihr mir sagen, ob mein System jetzt sauber ist, oder habe ich immer noch ein Problem?

Vielen Dank für eure Hilfe!

LG Thinkvision

-SilverDragon- 16.09.2008 20:10
Hallo und :hallo:

Du hast hervorragende Vorarbeit geleistet!
Bitte fixe in Hijackthis folgende Einträge:

Code:
O2 - BHO: (no name) - {D67D22D6-38CE-4189-A65A-2193E0C3E841} - C:\WINDOWS\system32\khfDuSmn.dll (file missing)
Danach gehe auf Start->Ausführen und tipp da Regedit ein, bestätige mit Enter.
Geh da auf Bearbeiten->Suchen und suche nach sndloc.dll
Wenn es gefunden wurde, gib bitte den Pfad an, also z.B. HKEY_LOCAL_MACHINE\Software...

Thinkvision 16.09.2008 21:03
Hallo Silverdragon,

danke für deine rasche Antwort!

Der Pfad ist HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS

-SilverDragon- 16.09.2008 21:07
Findest du dann folgenden Eintrag:

Code:
[HKEY_LOCAL_MACHINE\software\microsoft\windows  nt\currentversion\windows]
"AppInit_DLLs"= sndloc.dll"

Thinkvision 16.09.2008 21:12
Zitat:
Zitat von -SilverDragon- (Beitrag 373913)
Findest du dann folgenden Eintrag:

Code:
[HKEY_LOCAL_MACHINE\software\microsoft\windows  nt\currentversion\windows]
"AppInit_DLLs"= sndloc.dll"
Ja, schaut genau so aus!

Silent sharK 16.09.2008 21:20
Hoi,
SilverDragon hat mich gebeten, diese Sache zu vollenden. ;)
Voilà:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


http://saved.im/mzi3ndg3nta0/aven.jpg



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
registry values to replace with dummy:
[HKEY_LOCAL_MACHINE\software\microsoft\windows  nt\currentversion\windows]
"AppInit_DLLs"=sndloc.dll
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Thinkvision 16.09.2008 21:37
Zitat:
Zitat von Dark Viruz (Beitrag 373918)
Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
registry values to replace with dummy:
[HKEY_LOCAL_MACHINE\software\microsoft\windows  nt\currentversion\windows]
"AppInit_DLLs"=sndloc.dll
Hallo Dark Viruz,

danke für deine Hilfe. Der Script liefert mir eine Fehlermeldung.

Müsste der Script nicht eher so lauten:

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows | sndloc.dll (oder: |AppInit_DLLs)

Hab ich von diesem Tutorial:
Swandog46's Public Anti-Malware Tools

Silent sharK 16.09.2008 21:50
Edit: So, gerade nachgeschaut:
Code:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Hattest Recht, danke das du mich darauf aufmerksam gemacht hast! :daumenhoc
Wenn du dir die Avenger-Spielerei ersparen willst, gehts auch hiermit besser:

ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Thinkvision 16.09.2008 22:05
Habe mich jetzt doch für die Methode mit dem Avenger entschieden:

Dieser Skript hat funktioniert:

Registry values to replace with dummy:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows | AppInit_DLLs

Avenger.txt:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Sep 16 22:25:17 2008

22:25:11: Error: Invalid syntax in command:
"[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]"
Skipping line. (Registry value replacement mode)
22:25:17: Error: Execution aborted by user!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Sep 16 22:26:25 2008

22:26:23: Error: Invalid syntax in command:
"[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]"
Skipping line. (Registry value replacement mode)
22:26:25: Error: Execution aborted by user!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Sep 16 22:30:12 2008

22:30:10: Error: Invalid syntax in command:
"[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]"
Skipping line. (Registry value replacement mode)
22:30:12: Error: Execution aborted by user!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Sep 16 22:38:20 2008

22:38:15: Error: Invalid syntax in command:
"[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]"
Skipping line. (Registry value replacement mode)
22:38:20: Error: Execution aborted by user!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

Silent sharK 16.09.2008 22:07
Mein Edit kam wohl zu spät. :(
Aber gut, das du mitgedacht hast. ;)

Thinkvision 16.09.2008 22:16
Das heißt jetzt sollte alles wieder in Ordnung sein?

Danke auf jeden Fall für die Unterstützung - tolles Board! :dankeschoen:

Silent sharK 16.09.2008 22:17
Jap, sollte wieder alles OK sein.
Beobachte aber weiter das Verhalten deines Rechners und wenn was sein sollte, melde es hier.

Schönen Abend noch :party:


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131