Qhosts.apd Trojaner+Troj/Dumaru-AQ (winldra.exe)

#0
29.04.2005, 19:47
...neu hier

Beiträge: 4
#1 Hallo! Der Trojaner qhosts.apd wurde über den McAfeeStinger gefunden und angeblich repariert. Leider taucht er aber nach Neustart immer wieder auf, muß also in der Reg verankert sein, so dass er sich selbst wiederherstellt. Mein Problem: Virenscans von Adaware, Microsoft Antispyware oder der Online-Check über Symantec prallen ab, stattdessen kriege ich nach einiger Zeit scannen einen Bluescreen und mein Rechner startet neu. Wahrscheinlich wenn die Progs auf die betroffenen Dateien treffen...

Ausserdem habe ich keinen vollen Virenschutz da mein Norton AntiVirus abgelaufen ist...

Hier mal das Log aus HighjackThis:
Logfile of HijackThis v1.99.1
Scan saved at 18:55:04, on 29.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\winldra.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Dokumente und Einstellungen\BlaquePanda\Eigene Dateien\Daten\Programme\McAfeeAvertStinger253.exe
C:\Dokumente und Einstellungen\BlaquePanda\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bild.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bild.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: cpuidle - Unknown owner - C:\windows\system32\drivers\etc\cpuidle\SRVANY.EXE (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe


Ich sitze schon den ganzen Tag am Rechner und versuche ihn runter zu kriegen, die alten Threads hab ich durchgestöbert, aber die dort genannten Files sind bei mir nicht vorhanden, d.h ich brauche wohl ein neues "Rezept" oder eine Anleitung wie ich ihn wegbekomme?!!

Ich bitte dringendst um Hilfe, da ich an meinem Diplom schreibe und von meinem Computer abhängig bin :-(

Lieber Gruß, Dominik
Seitenanfang Seitenende
29.04.2005, 23:03
Member

Beiträge: 239
#2 C:\WINDOWS\System32\winldra.exe

Lass diese Datei hier online prüfen:
http://www.kaspersky.com/de/remoteviruschk.html

Rolfs
Seitenanfang Seitenende
29.04.2005, 23:19
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#3 Gratis Antivirus scanner http://www.freebyte.com/antivirus/#scanners
__________
MfG Argus
Seitenanfang Seitenende
30.04.2005, 00:52
...neu hier

Themenstarter

Beiträge: 4
#4 @ Rolffs:
Die winldra.exe ist dem Test nach ok, obwohl sie mir auch etwas komisch vorkommt.. Allerdings hab ich zwei andere Sachen gefunden, die aber anscheinend nicht mit dem Qhosts zusammenhängen (oder vielleicht doch??).

Beim Online Symantec Check hab ich folgende gefunden (allerdings ist der Scan und Computer danach wieder abgestürtzt - Bluescreen und Neustart!!) :

1: PWSteal.Bankash.D (unter Kaspersky heißt er
Trojan-Downloader.Win32.Small.aok)
- infizierte Datei: c:\Windows\system32\cm.exe

2: Trojan.KillAV (unter Kaspersky: Trojan-Dropper.VBS.Small.d)
- infizierte Datei: c:\system32\start.hta

Die Removal-Anleitung von Symantec hab ich, muß aber erst meine Lizenz verlängern, um danach vorzugehen. Denke, ich krieg es hin die zu löschen, aber das andere Problem bleibt...

Gruß und Dank
Seitenanfang Seitenende
30.04.2005, 02:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 BlaquePanda

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe
O23 - Service: cpuidle - Unknown owner - C:\windows\system32\drivers\etc\cpuidle\SRVANY.EXE (file missing)

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

c:\Windows\system32\cm.exe
c:\system32\start.hta
C:\WINDOWS\System32\lfo.dll
C:\WINDOWS\System32\winldra.exe

PC neustarten

suche /loesche (im abgesicherten Modus)

dvp.log
dvpd.dll
netdx.dat
prntsvra.dll
winsms.dll
fe43e701.htm

Loeschen temporaere Dateien--> loesche die Dateien in den Ordnern, nicht die ordner selbst
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat)

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp



•HOSTFILE:
#öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button
lösche alles , lasse nur stehen:
127.0.0.1 localhost

•CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm

Trojan.Qhosts Removal Tool
http://securityresponse.symantec.com/avcenter/venc/data/trojan.qhosts.removal.tool.html

Der Qhosts infiziert die host-Datei, das Removaltool muesste sie umbenennen und muesste sie nach Neustart neu erstellt werden.

Wenn das alles gemacht ist:

•Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

-------------------------------------------------------------------------------------------------------

Troj/Dumaru-AQ ist ein Trojaner für die Windows-Plattform, der Backdoorzugriff auf und die Steuerung über den Computer ermöglicht, Tastenfolgen speichert und vertrauliche Daten an einen remoten Speicherort sendet.

Sobald er ausgeführt wird, kopiert sich Troj/Dumaru-AQ mit dem Dateinamen winldra.exe in den Windows-Systemordner. Damit er beim Windows-Start automatisch aktiviert wird, erstellt er den folgenden Registrierungseintrag:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
load32
"winldra.exe"

Troj/Dumaru-AQ kann die folgenden Dateien im Windows-Ordner erstellen:

dvpd.dll
netdx.dat
prntsvra.dll
winsms.dll

sowie folgende Datei im Windows-Temp-Ordner:

fe43e701.htm

Dabei sind dvpd.dll, prntsvra.dll und winsms.dll DLL-Komponenten des Trojaners.

Prntsvra.dll ist eine DLL-Komponente von Troj/Dumaru-AQ, die von dem Troj/Dumaru-AQ Programm in den Explorer-Prozess eingefügt wird.

Winsms.exe wird von Sophos Anti-Virus als Troj/Dumaru-AT erkannt.

Troj/Dumaru-AQ spürt Daten in der Zwischenablage, Fenstertext, Kennwörter im Cache und vertrauliche Daten in der Systemregistrierung, darunter Daten im Zusammenhang mit Webmoney, Far Manager, Total Commander Ftp und dem The Bat! E-Mail-Client, auf.

Dvpd.dll wird von Troj/Dumaru-AQ dazu verwendet, den Inhalt von Webseiten zu überwachen und Text auf ausgewählten Banken-Websites zu speichern. Troj/Dumaru-AQ speichert Text in Browser-Fenstern, die folgende Zeichenfolgen enthalten:

'e-gold.com', 'intgold.com', 'emocorp.com', 'ameritrade.com', 'etrade.co', 'alliance-leicesterbusinessbanking.co', 'lloydstsb.co', '365online.co', 'natwest.co', 'bankofscotland.co', 'barclays.co', 'netmastergold.co', 'rbs.co' , 'firstdirect.co', 'smile.co', 'hsbc.co', 'virginone.co', 'zurichbank.co', 'abbey.co', 'halifax.co', 'aeacu.com', 'uboc.com', 'enternetbank.com', 'plainscapital.com', 'jacksonstatebank.com' and 'citibank.com'.

Der gespeicherte Text wird in einer Protokolldatei namens dvp.log gespeichert.

Troj/Dumaru-AQ sendet die gespeicherten Daten per E-Mail an einen remoten Speicherort. Wenn diese Daten gesendet wurden, erstellt Troj/Dumaru-AQ den folgenden Registrierungseintrag:

HKCU\Software\SARS\mailsended = 1

Troj/Dumaru-AQ verändert die HOSTS-Datei, um den Zugriff auf Antiviren-Websites aus der Liste unten zu blockieren, indem er sie mit der Loopback-Adresse 127.0.0.1 verknüpft:

avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
us.mcafee.com/root/
-
---
------

http://www.sophos.de/virusinfo/analyses/trojdumaruaq.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.05.2005, 10:44
...neu hier

Themenstarter

Beiträge: 4
#6 @ Sabina!
Hallo!! Also ich habe alle Schritte befolgt, alle Temp Dateien gelöscht etc. pp. Nun sieht es wirklich so aus, als hätte ich die Trojaner endlich gelöscht... alle Virenscanns verliefen positiv und ich glaube, mein Computer ist nun endlich clean!!!
Vielen vielen Dank für die klasse Unterstützung und die sehr konstruktive Hilfe!!!! Die war wirklich gold wert und rettet mir im Moment den Hals :-) Meine Anerkennung!!!!!
Wünsche allen eine schöne Woche!
Liebe Grüße, Dominik
Seitenanfang Seitenende
02.05.2005, 11:12
Member

Beiträge: 1132
#7 Hallo BlaquePanda,

Du bist zwar Dank der exzellenten Unterstützung von Sabina im Moment gerettet. Überlege aber einmal, woher Du die Trojaner hast.
Vermeide es, dass Du den Rechner gleich wieder infizierst! Also, Vorsicht beim Surfen und informiere Dich, wie man Infektionen verhindern kann. Jede Menge an Infos dazu findest Du hier im Board.

Viel Erfolg bei der Diplomarbeit!

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
02.05.2005, 14:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@BlaquePanda

gehe noch mal in die Registry und berichte, ob du diesen Schluessel findest:

HKCU\Software\SARS\mailsended = 1


dann gehe auf diese Seite und lade den Cleaner fuer:I-Worm.Dumaru.a-m

http://www.kaspersky.com/de/removaltools?vtopen=146410248#open
http://www.kaspersky.com/de/removaltools

dann sieh dich mal auf meiner Site um, da gibt es viele Tipps fuer die Sicherheit.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.05.2005, 21:22
...neu hier

Themenstarter

Beiträge: 4
#9 @ Sabina
Den Reg-Eintrag hab ich gefunden, das Removal Tool hat aber nichts finden können... Soll ich den Schlüssel verändern, oder sonst irgendetwas bezüglich des Dumaru tun?

Habe nochmal einen Scan mit HighjackThis gemacht, falls das nochmal helfen könnte. Die Antivirenscanns haben übrigens allesamt nichts mehr angezeigt...

Logfile of HijackThis v1.99.1
Scan saved at 21:20:05, on 02.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\BlaquePanda\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bild.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bild.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

LG, Dominik
Seitenanfang Seitenende
02.05.2005, 23:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 So erkennen Sie "W32/Dumaru"
Die Absender-Adressen der infizierten Mails können sich unterscheiden, eine lautet beispielsweise FUCKENSUICIDE@HOTMAIL.COM. Im Betreff-Text steht "Important information for you. Read it immediately" und im Mail-Text "Here is my photo, that you asked for yesterday".

Der Wurm selber steckt im Zip-Anhang mit dem Namen "myphoto.zip", dessen Größe 17.613 Bytes ist. In der Zip-Datei ist eine Datei mit der Bezeichnung "myphoto.jpg(viele Leerzeichen).exe" enthalten. Also Leute mal wieder die Antivirensoftware auf den neuesten Stand bringen.

Einen Hinweis darauf, ob ein Rechner von dem Wurm befallen ist, liefert ein Blick in die Registry. Der Wurm trägt dort den Pfad "HKEY_LOCAL_MACHINE\Software\SARS" ein.

mit rechtsklick loeschen
HKCU\Software\SARS\mailsended = 1

HKEY_LOCAL_MACHINE\Software\SARS

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus

http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende