Trojaner-Board
Seite 5 von 5 « Erste 34 5
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Worm_downad.ad ? (https://www.trojaner-board.de/85119-worm_downad-ad.html)

Snewi 04.05.2010 12:13
Einen Server hab ich noch gefunden der die Quelle (DomainController) sein könnte!
Ist aber Windoes 2003 Server BS! Gibt es hier ne Möglichkeit wie bei dem Avenger vorzugehen?

Log:
Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-04 13:08:38
Windows 5.2.3790 Service Pack 2
Running: gmer.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kxroapoc.sys


---- Kernel code sections - GMER 1.0.15 ----

_LTEXT          C:\WINDOWS\system32\DRIVERS\sntie.sys                                              entry point in "_LTEXT" section [0xB5A37160]

---- User code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\System32\svchost.exe[884] ntdll.dll!NtQueryInformationProcess            7C94759D 5 Bytes  JMP 01799DC2
.text          C:\WINDOWS\System32\svchost.exe[884] NETAPI32.dll!NetpwPathCanonicalize            71A59511 5 Bytes  JMP 01799D62

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                              TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                            tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                          tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                          tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                        tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                            TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)

---- Services - GMER 1.0.15 ----

Service        C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                  [AUTO] udchbxvo                                                                                                                                                                                                                                                                                                                                    <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@DisplayName                        Update Universal
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@Type                                32
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@Start                              2
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@ErrorControl                        0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@ImagePath                          %SystemRoot%\system32\svchost.exe -k netsvcs
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@ObjectName                          LocalSystem
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@Description                        L?st NetBIOS-Namen f?r TCP/IP-Clients auf, indem Netzwerkdienste, die NetBIOS verwenden, ermittelt werden. Netzwerk-NetBIOS-Dienste funktionieren nicht einwandfrei, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo\Parameters                         
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo\Parameters@ServiceDll              C:\WINDOWS\system32\mcvbosa.dll
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo@DisplayName                            Update Universal
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo@Type                                    32
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo@Start                                  2
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo@ErrorControl                            0
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo@ImagePath                              %SystemRoot%\system32\svchost.exe -k netsvcs
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo@ObjectName                              LocalSystem
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo@Description                            L?st NetBIOS-Namen f?r TCP/IP-Clients auf, indem Netzwerkdienste, die NetBIOS verwenden, ermittelt werden. Netzwerk-NetBIOS-Dienste funktionieren nicht einwandfrei, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo\Parameters (not active ControlSet)     
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo\Parameters@ServiceDll                  C:\WINDOWS\system32\mcvbosa.dll
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability@LastAliveUptime          963815
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs             
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout  15
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota    10000
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                  yes
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                 
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout  90
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota    10000
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DesktopHeapLogging        1
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERPostMessageLimit      100000

---- EOF - GMER 1.0.15 ----

cosinus 04.05.2010 13:41
Zitat:
Ist aber Windoes 2003 Server BS! Gibt es hier ne Möglichkeit wie bei dem Avenger vorzugehen?
Mit OSAM versuchen die "bösen" Dienste zu löschen...

Snewi 06.05.2010 07:22
So wie es aussieht ist der Virus weg! Es kommt aufjedenfall keine Meldung mehr auf irgendeinem Client oder Server :Boogie:

Die Frage ist ob er auch wirklich weg ist und ob man das noch irgendwie überprüfen kann oder ist es jetzt mehr Glück?:D

Danke nochmal an Cosinus der viel Geduld mit mir haben musste aber der eine echt große große Hilfe war! Also DANKE :party:

Gruß


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:57 Uhr.
Seite 5 von 5 « Erste 34 5
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58