Trojaner-Board - TR/Dropper.Gen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Dropper.Gen (https://www.trojaner-board.de/77156-tr-dropper-gen.html)

Also ....

direkt nach dem 2ten durch combofix ausgelösten restart ... konnt ich keine exe mehr starten ... gar keine ... immer der selbe fehler...
irwas mit der registry

ich hab dann direkt restartet und ab dann ging alles wieder bluescreens hat ich auch noch keine...

so und wie gesagt... diese trojans und die anderen dateien befinden sich immernoch in der quarantäne von antivir ...
was soll ich mit denen machen

Zitat:

irwas mit der registry

Bitte die genaue Fehlermeldung. Screenshot wäre optimal. :)

Zitat:

bluescreens hat ich auch noch keine...

Wieso verblüfft mich das jetzt nicht? :D

Zitat:

was soll ich mit denen machen

Dort sind sie unschädlich. Es wäre aber hilfreich, wenn ich wüsste, was wo gefunden wurde. Auch hier wäre ein Screenshot optimal. :)

ciao, andreas

http://s12b.directupload.net/images/090906/95netxps.jpg

die meisten dateien sind im C:/Windows/Temp

die unteren 5 in C:/Windows/system32/driver

und ein screen von der registry-fehlermeldung geht schlecht den wie schon geschrieben hab ich den fehler nich mehr.. ^^

:confused:

Zitat:

und ein screen von der registry-fehlermeldung geht schlecht den wie schon geschrieben hab ich den fehler nich mehr..

:confused: Du hast doch geschrieben, du kannst keine Programme mehr starten? Die Dateien in der Quarantäne kannst du alle löschen.

1.) http://www.trojaner-board.de/51187-a...i-malware.html

2.) http://www.trojaner-board.de/51871-a...tispyware.html

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

4.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

ciao, andreas

hier der erste log .. ich bin jeztt erstmal weg ... bin vil heut nacht nochmal on um die weiteren schritte zu machen ^^

Code:

Malwarebytes' Anti-Malware 1.40

Datenbank Version: 2747

Windows 6.0.6002 Service Pack 2
 

06.09.2009 17:28:49

mbam-log-2009-09-06 (17-28-49).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|)

Durchsuchte Objekte: 258757

Laufzeit: 2 hour(s), 47 minute(s), 41 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 4
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kbiwkmjsvriunp (Rootkit.TDSS) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Qoobox\Quarantine\C\Windows\System32\kbiwkmiuabddne.dll.vir (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\Windows\System32\kbiwkmoreffcmc.dll.vir (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\Users\Enrico\AppData\Roaming\mIRC\bin\dll\dmu.dll (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Users\Enrico\AppData\Roaming\mIRC\bin\dll\SysTray.dll (Backdoor.Bot) -> Quarantined and deleted successfully.

:confused: Hast du in der Zwischenzeit soetwas wie Systemwiederherstellung oder ähnliches ausgeführt?

ciao, andreas

nichts der gleichen ... wieso ??? ...

hier mal der anti spyware log

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 09/07/2009 at 02:18 AM
 

Application Version : 4.28.1010
 

Core Rules Database Version : 4086

Trace Rules Database Version: 2026
 

Scan type       : Complete Scan

Total Scan Time : 03:23:21
 

Memory items scanned      : 903

Memory threats detected   : 0

Registry items scanned    : 6453

Registry threats detected : 0

File items scanned        : 145270

File threats detected     : 22
 

Adware.Tracking Cookie

        C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@at.atwola[2].txt

        C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@cdn.at.atwola[1].txt

        C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@advertising[2].txt

        C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@apmebf[1].txt

        C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@doubleclick[1].txt

        C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@weborama[2].txt

        C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@atwola[2].txt

        C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@adfarm1.adition[2].txt

        C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@tacoda[1].txt

        C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@mediaplex[2].txt

        C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@atdmt[1].txt

        D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@2o7[2].txt

        D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@atdmt[1].txt

        D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@msnportal.112.2o7[1].txt

        D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@weborama[2].txt

        D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@atdmt[2].txt

        D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@serving-sys[1].txt

        D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@bs.serving-sys[1].txt

        D:\Programme\PortableApps\wlive\WLM Lite\%AppData%\Microsoft\Windows\Cookies\enrico@weborama[2].txt

        D:\Programme\PortableApps\wlive\WLM Lite\%AppData%\Microsoft\Windows\Cookies\enrico@atdmt[2].txt

        D:\Programme\PortableApps\wlive\WLM Lite\%AppData%\Microsoft\Windows\Cookies\enrico@serving-sys[2].txt

        D:\Programme\PortableApps\wlive\WLM Lite\%AppData%\Microsoft\Windows\Cookies\enrico@bs.serving-sys[2].txt

Zitat:

nichts der gleichen ... wieso ??? ...

Weil ein Eintrag, den ComboFix schon längst gelöscht hat, bei Malwarebytes wieder aufgetaucht ist. Das ist mehr als bedenklich. Deinstalliere SuperAntiSpyware.

ciao, andreas

Hier mal der Kaspersky Online Scanner Log ... ^^

die ganze nacht dem scanner zugeschaut :kaffee:

Zitat:

die ganze nacht dem scanner zugeschaut

:D Man kann seine Zeit sinnvoller verbringen. Der Scanner läuft alleine.

Hat Prevx etwas gefunden?

ciao, andreas

Wo hast du die Datei girc526.exe denn geladen? Schicke mir den Downloadlink bitte als Private Nachricht.

ciao, andreas

Edit: So richtig schädlich sieht die nicht aus. Nur ClamAV schießt mal wieder den Vogel ab. :D

Code:

Datei girc526.htm empfangen 2009.09.08 15:52:44 (UTC)

Status:    Beendet 

Ergebnis: 12/41 (29.27%) 

 Filter 

Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis

a-squared        4.5.0.24        2009.09.08        Riskware.Client-IRC.Win32.mIRC!IK

AhnLab-V3        5.0.0.2        2009.09.08        -

AntiVir        7.9.1.12        2009.09.08        -

Antiy-AVL        2.0.3.7        2009.09.08        Client-IRC/Win32.mIRC.gen

Authentium        5.1.2.4        2009.09.08        -

Avast        4.8.1351.0        2009.09.08        -

AVG        8.5.0.409        2009.09.08        -

BitDefender        7.2        2009.09.08        -

CAT-QuickHeal        10.00        2009.09.08        -

ClamAV        0.94.1        2009.09.08        Worm.Downadup-319

Comodo        2210        2009.09.08        UnclassifiedMalware

DrWeb        5.0.0.12182        2009.09.08        -

eSafe        7.0.17.0        2009.09.08        -

eTrust-Vet        31.6.6725        2009.09.08        -

F-Prot        4.5.1.85        2009.09.08        -

F-Secure        8.0.14470.0        2009.09.08        Client-IRC.Win32.mIRC.g

Fortinet        3.120.0.0        2009.09.08        Misc/MIRC

GData        19        2009.09.08        -

Ikarus        T3.1.1.72.0        2009.09.08        not-a-virus:Client-IRC.Win32.mIRC

Jiangmin        11.0.800        2009.09.08        -

K7AntiVirus        7.10.839        2009.09.08        -

Kaspersky        7.0.0.125        2009.09.08        not-a-virus:Client-IRC.Win32.mIRC.g

McAfee        5734        2009.09.07        -

McAfee+Artemis        5734        2009.09.07        Artemis!5A3449E5F18D

McAfee-GW-Edition        6.8.5        2009.09.08        -

Microsoft        1.5005        2009.09.08        -

NOD32        4406        2009.09.08        -

Norman        6.01.09        2009.09.08        -

nProtect        2009.1.8.0        2009.09.08        -

Panda        10.0.2.2        2009.09.07        Application/MotherboardMonitor.A

PCTools        4.4.2.0        2009.09.07        -

Prevx        3.0        2009.09.08        Medium Risk Malware

Rising        21.46.14.00        2009.09.08        -

Sophos        4.45.0        2009.09.08        -

Sunbelt        3.2.1858.2        2009.09.07        Trojan.Win32.Generic!BT

Symantec        1.4.4.12        2009.09.08        -

TheHacker        6.3.4.3.397        2009.09.07        -

TrendMicro        8.950.0.1094        2009.09.08        -

VBA32        3.12.10.10        2009.09.08        -

ViRobot        2009.9.8.1923        2009.09.08        -

VirusBuster        4.6.5.0        2009.09.08        -

weitere Informationen

File size: 3583184 bytes

MD5...: 5a3449e5f18d66e2ce789cbabd2b23c8

SHA1..: 5f900c2d8766dd33cdd6d38325132529b45b31d7

SHA256: 55b6b133aadd6351b024c10aa94e63f783502e6b2ce70908f8c701dc9c0b5c9c

ssdeep: 98304:K9sPryq3mbY+lL+jgw7hcOPSLwK8LS2BllN9x:KW3mE+lL+Fvjzj

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x323c

timedatestamp.....: 0x49a05a1a (Sat Feb 21 19:46:34 2009)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x5a56 0x5c00 6.42 7e9e633fd2aedade49bf819fab33d557

.rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75

.data 0x9000 0x1af98 0x400 4.71 a59d6ff4f72ca84cc2dea3b332090bfb

.ndata 0x24000 0x19000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rsrc 0x3d000 0x4de0 0x4e00 4.61 9e8aca9cffb68f12c1680118f2d05d03
 

( 8 imports ) 

> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA

> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow

> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject

> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation

> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA

> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create

> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance

> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
 

( 0 exports ) 

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=9F2E2D34D0F86921AC2E365809A7C500DDD1979E' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=9F2E2D34D0F86921AC2E365809A7C500DDD1979E</a>

packers (Kaspersky): ExePack

packers (F-Prot): NSIS, Unicode

also bin ich meine infektion jetzt los ?? ^^....

naja wenn ja ... wie sollt ich weiter machen ich will ja nich gerade das das wieder vorkommt...

wie kann ich mich schützten und ja ...

grus
Keks

1.) Deinstalliere:

Java(TM) 6 Update 6
Kaspersky Online Scan
Prevx

2.) Installiere:

Java-Downloads für alle Betriebssysteme - Sun Microsystems

3.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

RegLock::

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
 

Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]

"EnableFirewall"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]

"EnableFirewall"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]

"EnableFirewall"=-

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]

"DisableMonitoring"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000000
 

Folder::

C:\rsit
 

DirLook::

c:\users\Enrico\AppData\Local\{0691F710-1ECA-4B5A-9727-25554F1BFDC6}

c:\users\Enrico\{4646f5f8-a9d0-478f-b69c-ebca0c4e974d}

c:\users\Enrico\{0eb8b3e3-2641-4293-b83c-fa22bd338eb6}

C:\0fbda056520649610fbc7a3b7f6c7a02

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

so bitte schön hier der log