Habe auf dem PC den TRojaner Win32.Akbot.a

#1 Hallo Leute

Ihr habt mir schon in der Vergangenheit einmal sehr geholfen und jetzt habe ich wieder ein Problem.

Habe mir seid meinem letzten Trojaner Befall extra einen anderen Virenscanner geholt und zwar NOD32, der hat aber diesen Trojaner auch nicht erkannt.

Es öffnet sich seid ca. 2 tagen jede paar Minuten eine Seite "de.errorsafe.com" und da NOD32 nichts erkannt hat habe ich einen Onlinescan mit F-Secure gemacht.

Hier das Ergebniss:

C:\WINDOWS\system32\steam.dll Backdoor.Win32.Akbot.a

Habe danach mit Hijack das ganze ausgelesen:

***********************************************

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Kyocera\FS-720 Utilities\KMGLNC.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Robert\Eigene Dateien\Programme\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: MFCOptimizeClass Object - {A6CEA0E7-6B4D-4CD9-9932-D85705CBC1A9} - C:\WINDOWS\System32\awvvw.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Launcher] C:\Programme\Kyocera\FS-720 Utilities\KMGLNC.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A424F32-C9FE-499C-A339-B82A11438125}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

****************************************************

Und es wurde auch dies als Bedrohung endeckt:

O2 - BHO: MFCOptimizeClass Object - {A6CEA0E7-6B4D-4CD9-9932-D85705CBC1A9} - C:\WINDOWS\System32\awvvw.dll

Leider bekomme ich diese datei nicht weg,
auch nicht mit dem Killboot.

Kann mir jamnd bitte ein paar Tipps geben.

Danke

#2 Ist eine neue Variante von Vundo
Versuch VundoFix.exe
http://www.atribune.org/content/view/24/2/
Direkt download http://www.atribune.org/ccount/click.php?id=4
__________
MfG Argus

#3 @Arnold danke für deine Antwort

Ich habe den VundoFix heruntergeladen und wollte das ganze so wie auf der Website beschrieben durchgehen, bei mir hackt es aber an diesem Punkt:

Double-click VundoFix.exe to run it.
Put a check next to Run VundoFix as a task.
You will receive a message saying vundofix will close and re-open in a minute or less. Click OK
Habe auf OK geklickt, aber bei mir öffnet das Programm danach nicht mehr,
habe ca. 10 Minuten gewartet.
When VundoFix re-opens, click the Scan for Vundo button.
Once it's done scanning, click the Remove Vundo button.
You will receive a prompt asking if you want to remove the files, click YES
Once you click yes, your desktop will go blank as it starts removing Vundo.
When completed, it will prompt that it will shutdown your computer, click OK.
Turn your computer back on.


Wenn ich gleich nach dem starten des Programmes auf Scannen gehe,
also vor diesem Punkt:
Put a check next to Run VundoFix as a task.
Dann erkennt er bei mir sehr viele Dateien, deswegen traue ich mich nicht so richtig auf löschen zu gehen.
Es ist ja auch nicht so beschrieben .....

#4 roberto77

vorher:

da die tmp extra geloescht werden muss
http://virus-protect.org/artikel/tools/vundofixx.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo @sabina

danke vielmals für deine Antwort.

1. Ich habe VundoFix.exe ausgeführt.
2. HijackThis findet die datei C:\WINDOWS\System32\awvvw.dll nicht mehr
3. Habe Clean Up ausgeführt
4. Wollte ATF Cleaner ausführen aber der hängt sich bei mir immer auf.

Habe danach nochmals VundoFix.exe ausgeführt,
es konnte aber nichts mehr gefunden werden.

Danach habe ich F-Secure nochmals ausgeführt und der hat trotzdem wieder die datei C:\WINDOWS\system32\steam.dll Backdoor.Win32.Akbot.a gefunden,
verdammt dachte es wäre erledigt .....

Hier das Ergebniss von DatFind.Bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9869-D2F9
Verzeichnis von C:\WINDOWS\system32
07.02.2006 16:40 35.879 vsconfig.xml
05.02.2006 13:29 93 imon1.dat
05.02.2006 13:28 125.203 rassssser.exe
05.02.2006 13:28 49.104 mc-110-12-0000247.exe
05.02.2006 13:19 19.656 steam.dll
04.02.2006 19:19 12.980 wpa.dbl
03.02.2006 08:21 4.212 zllictbl.dat
24.01.2006 12:23 38.925 awtqp.dll
24.01.2006 12:23 38.925 jkhfe.dll
24.01.2006 12:23 38.925 awvtr.dll
24.01.2006 12:23 38.925 mlljh.dll
24.01.2006 12:23 38.925 pmkhf.dll
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
08.11.2005 03:07 0 mapisvc.inf
08.11.2005 03:05 270.336 imon.dll
08.11.2005 02:59 100 LuResult.txt


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9869-D2F9
Verzeichnis von C:\
07.02.2006 17:11 0 systemtemp.txt
07.02.2006 17:10 95.065 system32.txt
07.02.2006 17:09 1.359 sys.txt
07.02.2006 17:09 7.974 system.txt
07.02.2006 16:59 236.093 winzip.log
07.02.2006 16:55 2.296 VundoFix.txt
07.02.2006 16:39 805.306.368 pagefile.sys
07.02.2006 14:17 2 AVPCallback.log
18.08.2005 23:20 0 itouch_config_crash_info.txt


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9869-D2F9
Verzeichnis von C:\WINDOWS
07.02.2006 16:40 0 0.log
07.02.2006 16:39 159 wiadebug.log
07.02.2006 16:39 50 wiaservc.log
07.02.2006 16:39 2.048 bootstat.dat
07.02.2006 16:38 32.622 SchedLgU.Txt
07.02.2006 12:34 1.952.089 setupapi.log
23.01.2006 11:23 54.156 QTFont.qfn
10.01.2006 18:30 3.294 tm.ini
25.12.2005 23:04 565 ULEAD32.INI
14.12.2005 09:40 108 tdf.dii
30.09.2005 15:41 673 ODBC.INI


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9869-D2F9
Verzeichnis von C:\
07.02.2006 17:12 0 sys.txt
07.02.2006 17:11 7.974 system.txt
07.02.2006 17:11 1.359 systemtemp.txt
07.02.2006 17:10 95.065 system32.txt
07.02.2006 16:59 236.093 winzip.log
07.02.2006 16:55 2.296 VundoFix.txt
07.02.2006 16:39 805.306.368 pagefile.sys
07.02.2006 14:17 2 AVPCallback.log
18.08.2005 23:20 0 itouch_config_crash_info.txt


Kannst Du irgend etwas erkennen ?

Und wie bekomme ich den Backdoor.Win32.Akbot.a weg ?

Danke



Ich habe jetzt auch noch einen Online-Scan mit PANDA gemacht,
hier die Log-Datei:

Incident Status Location Adware:adware/maxifiles Not disinfected C:\PROGRAMME\GEMEINSAME DATEIEN\InetGet Adware:adware/downloadware Not disinfected Windows Registry Adware:Adware/Maxifiles Not disinfected C:\Dokumente und Einstellungen\Robert\mc-110-12-0000247.exe
Spyware:Spyware/Virtumonde Not disinfected C:\Dokumente und Einstellungen\Robert\rassssser.exe[run32.dll]
Spyware:Cookie/Mediaplex Not disinfected C:\RECYCLER\S-1-5-21-1708537768-1844237615-839522115-1004\Dd3.txt
Spyware:Cookie/Doubleclick Not disinfected C:\RECYCLER\S-1-5-21-1708537768-1844237615-839522115-1004\Dd7.txt
Spyware:Spyware/Virtumonde Not disinfected C:\WINDOWS\system32\awtqp.dll
Spyware:Spyware/Virtumonde Not disinfected C:\WINDOWS\system32\awvtr.dll
Spyware:Spyware/Virtumonde Not disinfected C:\WINDOWS\system32\jkhfe.dll
Adware:Adware/Maxifiles Not disinfected C:\WINDOWS\system32\mc-110-12-0000247.exe
Spyware:Spyware/Virtumonde Not disinfected C:\WINDOWS\system32\mlljh.dll
Spyware:Spyware/Virtumonde Not disinfected C:\WINDOWS\system32\pmkhf.dll
Spyware:Spyware/Virtumonde Not disinfected C:\WINDOWS\system32\rassssser.exe[run32.dll]
Virus:W32/Akbot.C.worm Disinfected C:\WINDOWS\system32\steam.dll
Virus:W32/Netsky.Z.worm Disinfected Lokale Ordner\Gelschte Objekte\Document\Textfile.zip[Textfile.txt .exe]
Virus:W32/Netsky.C.worm Disinfected Lokale Ordner\Gelschte Objekte\notice!\undefinied_worker.zip[undefinied_worker.rtf.scr]


Der hat auch was gelöscht

Danach habe ich nochmals einen Online-Scan mit F-Secure gemacht
und jetzt findet er nichts mehr.

Ist mein PC jetzt wieder sauber ?