Home » Viren, Trojaner & Malware Forum » Win32:Dialer-527 [Trj] - Trotz entfernen, taucht er wieder auf... » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Win32:Dialer-527 [Trj] - Trotz entfernen, taucht er wieder auf...

23.04.2006, 15:36

3.14159a

...neu hier

Beiträge: 4

#1 Hallo zusammen

Habe auf diesem tollen Forum nach was ähnliches gesucht, aber wurde nicht richtig fündig oder weiss nicht ob ich gleich vorgehen kann wie in anderen Themas. Hoffe Ihr könnt mir bei meinem Problem helfen, da ich momentan unmöglich mein Laptop neu aufsetzen kann und nicht mehr weiter weiss.

Habe mir folgende Malware eingefangen: Win32:Dialer-527[Trj]

avast! gibt mir nach einer kurzen Zeit im Internet an, dass eine Malware
gefunden wurde, wenn ich diese in den Container verschieben, löschen oder
sonst was dagegen machen will, kommt die Meldung: "Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird."
--> avast! gibt mir als Dateiname der Malware immer sowas an: srvnwn[1].exe\[UPX]

Im Ordner "Temporary Internet Files" erscheint die Datei "a571.php?m=1&b=779&c=5". Das Löschen dieser Datei bringt aber auch nichts...

*************************************************

Mit avast! habe ich eine Intensiv-Prüfung durchlaufen und folgendes Resultat erhalten:
C:\WINDOWS\Temp\win215.tmp\[UPX]
C:\WINDOWS\Temp\win223.tmp\[UPX]
C:\WINDOWS\Temp\win224.tmp\[UPX]
C:\WINDOWS\Temp\win227.tmp\[UPX]
C:\WINDOWS\Temp\win25.tmp\[UPX]
C:\WINDOWS\Temp\win26.tmp\[UPX]
C:\WINDOWS\Temp\win28.tmp\[UPX]

Bei jeder einzelnen Datei stand:
Infektion: Win32:Dialer-527[Trj] Datei erfolgreich in Container verschoben

Nun wäre das natürlich zu schön, wenn dies auch wirklich so wäre. Nach Aufstarten des Computers und ein bisschen surfen heute, erschien dann dieselbe Meldung wieder...

*************************************************

Hier Infos, falls diese von Nutzen sind...?

Die letzten paar Monate mit datFind.bat:

*************************************************
system32.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0069-BA9D

Verzeichnis von C:\WINDOWS\system32

23.04.2006 13:48 2'206 wpa.dbl
11.04.2006 17:01 1'409 tmp6B873.FOT
11.04.2006 17:01 1'409 tmp66873.FOT
11.04.2006 17:01 1'409 tmp61873.FOT
11.04.2006 17:01 1'409 tmp6C773.FOT
11.04.2006 17:01 1'409 tmp67773.FOT
11.04.2006 17:01 1'409 tmp2C673.FOT
11.04.2006 16:15 1'536 TrueSoft.dat
11.04.2006 16:15 12'034 winnvy32.dll
06.04.2006 21:48 5'143'456 MRT.exe
04.04.2006 10:09 6'919 jupdate-1.5.0_06-b05.log
30.03.2006 11:26 1'492'480 shdocvw.dll
30.03.2006 03:16 18'944 xpsp3res.dll
26.03.2006 10:52 314'842 perfh009.dat
26.03.2006 10:52 41'170 perfc009.dat
26.03.2006 10:52 320'662 perfh007.dat
26.03.2006 10:52 49'576 perfc007.dat
26.03.2006 10:52 732'342 PerfStringBackup.INI
23.03.2006 22:34 3'074'560 mshtml.dll
18.03.2006 13:09 615'424 urlmon.dll
17.03.2006 11:11 679'424 inetcomm.dll
17.03.2006 06:03 8'493'056 shell32.dll
17.03.2006 02:38 28'672 verclsid.exe
13.03.2006 09:50 126'112 FNTCACHE.DAT
10.03.2006 06:09 5'533'696 wmp.dll
04.03.2006 05:34 664'064 wininet.dll
04.03.2006 05:34 474'624 shlwapi.dll
04.03.2006 05:34 532'480 mstime.dll
04.03.2006 05:34 39'424 pngfilt.dll
04.03.2006 05:34 448'512 mshtmled.dll
04.03.2006 05:34 146'432 msrating.dll
04.03.2006 05:34 55'808 extmgr.dll
04.03.2006 05:34 205'312 dxtrans.dll
04.03.2006 05:34 251'392 iepeers.dll
04.03.2006 05:34 96'768 inseng.dll
04.03.2006 05:34 1'056'256 danim.dll
04.03.2006 05:34 1'022'976 browseui.dll
04.03.2006 05:34 152'064 cdfview.dll
04.02.2006 18:16 3'002 CONFIG.NT
28.01.2006 00:38 503'296 aswBoot.exe
28.01.2006 00:30 90'112 AVASTSS.scr
04.01.2006 05:35 68'096 webclnt.dll
02.01.2006 15:31 16'832 amcompat.tlb
02.01.2006 15:31 23'392 nscompat.tlb

*************************************************
system.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0069-BA9D

Verzeichnis von C:\WINDOWS

23.04.2006 14:06 298 hpbafd.ini
23.04.2006 14:06 16'818 setupapi.log
23.04.2006 13:49 0 0.log
23.04.2006 13:48 1'388'921 WindowsUpdate.log
23.04.2006 13:48 2'048 bootstat.dat
21.04.2006 22:48 32'616 SchedLgU.Txt
21.04.2006 11:09 900 win.ini
20.04.2006 14:56 106 drwatson.log
19.04.2006 20:34 411 wiadebug.log
19.04.2006 19:48 7'880 ModemLog_PCTEL 2304WT V.9x MDC Modem.txt
19.04.2006 18:46 50 wiaservc.log
19.04.2006 15:03 30'821 spupdsvc.log
19.04.2006 11:57 76'768 iis6.log
19.04.2006 11:57 128'691 comsetup.log
19.04.2006 11:57 79'353 ntdtcsetup.log
19.04.2006 11:57 17'583 ocmsn.log
19.04.2006 11:57 198'773 tsoc.log
19.04.2006 11:57 1'374 imsins.log
19.04.2006 11:57 15'629 KB908531.log
19.04.2006 11:57 276'990 ocgen.log
19.04.2006 11:57 25'554 msgsocm.log
19.04.2006 11:57 490'375 FaxSetup.log
19.04.2006 11:57 33'208 updspapi.log
19.04.2006 11:56 1'374 imsins.BAK
19.04.2006 11:56 14'783 KB911562.log
19.04.2006 11:56 16'827 KB912812.log
19.04.2006 11:55 14'866 KB911565.log
19.04.2006 11:55 17'315 wmsetup.log
19.04.2006 11:55 10'704 KB911567.log
15.04.2006 18:27 227 system.ini
15.04.2006 18:07 54 WinInit.Ini
13.04.2006 10:45 74'240 winres.dll
11.04.2006 16:53 1'409 QTFont.for
11.04.2006 16:53 54'156 QTFont.qfn
11.04.2006 16:04 1'310'638 setupapi.log.0.old
05.04.2006 15:33 157 matlab.ini
04.04.2006 14:08 754 WORDPAD.INI
20.03.2006 21:28 0 PanelExe.INI
15.03.2006 20:27 19 SoundConverter.INI
17.02.2006 15:54 40 nero.INI
17.02.2006 09:51 10'647 KB911927.log
17.02.2006 09:51 6'423 KB911564.log
17.02.2006 09:50 6'696 KB913446.log
04.02.2006 18:18 743 ODBC.INI
30.01.2006 16:44 12'982 winsight.ini
17.01.2006 09:39 68 my.ini
11.01.2006 09:56 10'100 KB908519.log
06.01.2006 14:40 11'001 KB912919.log
02.01.2006 15:33 378 wmsetup10.log
02.01.2006 15:30 316'640 WMSysPr9.prx

*************************************************
sys.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0069-BA9D

Verzeichnis von C:\

23.04.2006 15:24 0 sys.txt
23.04.2006 15:24 7'852 system.txt
23.04.2006 15:24 499 systemtemp.txt
23.04.2006 15:24 102'759 system32.txt
23.04.2006 13:48 805'306'368 pagefile.sys
21.04.2006 22:46 7'244 eintragForum.txt
20.04.2006 14:36 173 _arm_errors.log
15.04.2006 18:27 211 boot.ini
11.04.2006 11:58 12'883'870 reclock_log.txt
07.04.2006 15:41 36'970 VaCtrlTrace.log
26.03.2006 18:12 2'177 OLE66.tmp
25.03.2006 17:20 1'601 OLE5E.tmp
25.03.2006 17:14 1'568 OLE54.tmp
25.03.2006 17:14 1'568 OLE51.tmp
25.03.2006 16:55 1'500 OLE3A.tmp
25.03.2006 16:49 1'500 OLE33.tmp
20.03.2006 21:26 1'687'964 HMV9Inst.log
20.03.2006 21:08 46 MALastLog.txt
19.03.2006 17:41 19'968 dokument.doc
15.02.2006 10:20 591 btest.txt
02.01.2006 19:39 1'120 INSTALL.LOG

*************************************************
systemtemp.txt: (kürzlich mit CleanUp gereingt)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0069-BA9D

Verzeichnis von C:\DOKUME~1\PIAKRU~1\LOKALE~1\Temp

23.04.2006 14:16 49'152 ~DF8005.tmp
23.04.2006 14:15 416 java_install_reg.log
23.04.2006 14:14 618 jusched.log
23.04.2006 14:04 16'384 ~DFA1B1.tmp
02.02.2006 22:23 2'423'496 BIT22E.tmp
5 Datei(en) 2'490'066 Bytes
0 Verzeichnis(se), 7'454'523'392 Bytes frei

*************************************************

Und hier noch das Logfile von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 15:42:09, on 23.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sicherheitstools\Avast4\aswUpdSv.exe
C:\Programme\Sicherheitstools\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\Programme\Sicherheitstools\Avast4\ashMaiSv.exe
C:\Programme\Sicherheitstools\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\BLUEWIN\WLAN Assistant\McciTrayApp.exe
C:\PROGRA~1\BLUEWIN\QUICKH~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\SICHER~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVirusWorm-Software\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/index_d.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BLUEWIN_McciTrayApp] C:\Programme\BLUEWIN\WLAN Assistant\McciTrayApp.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\BLUEWIN\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\SICHER~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130411300067
O16 - DPF: {8FEED82A-42A6-4117-A803-7EC3EB9339E0} (ClientControl Class) - http://10.1.33.42/plugin/client.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://10.1.33.42/plugin/h263ctrl.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winnvy32 - C:\WINDOWS\SYSTEM32\winnvy32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Sicherheitstools\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Sicherheitstools\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Sicherheitstools\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Sicherheitstools\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: MySQL_5 - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)

*************************************************

Auf http://www.hijackthis.de habe ich dies ausgewertet und folgendes erhalten:
http://www.hijackthis.de/logfiles/81bb2d56191e63c038d008696d400f90.html

*************************************************

Vielen Dank schon im Voraus für eure Hilfe!!!

*************************************************

Habe noch mehr Infos:
Verdächtige Dateien im Ordner Temporary Internet Files:
a571.php?m=1&b=779&c=4 Internetadresse: http://www.impotato.com/a412/a571.php?m=1&b=779&c=4
a571.php?m=1&b=779&c=5 Internetadresse: http://www.impotato.com/a412/a571.php?m=1&b=779&c=5
ch.exe Internetadresse: http://content.jdial.biz/content/4646/ch.exe

Evt. sagt das ja noch was aus und ihr könnt mir helfen.. Wäre sehr froh darum!

*************************************************

Bin fleissig am Forum durchlesen und am googeln. Finde immer wieder ein paar Infos, aber komme auf keinen grünen Zweig.

--> http://www.pcwelt.de/news/sicherheit/130047/
Hier gehts um den Prozess ch.exe, aber wie bringe ich diesen unter anderem vollständig weg..?

*************************************************

Habe über http://virusscan.jotti.org/de/ die Datei winnvy32.dll aus C:\WINDOWS\system32 getestet und folgendes erhalten:

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: NSPACK

AntiVir Trojan/Agent.QT.6 gefunden
ArcaVir Trojan.Agent.Qt gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Backdoor.Sualimpo.A gefunden
ClamAV Keine Viren gefunden
Dr.Web BackDoor.Madtro gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet BDoor.CVT!bdr gefunden
Kaspersky Anti-Virus Trojan.Win32.Agent.qt gefunden
NOD32 Win32/TrojanDownloader.Small.CML gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan.Win32.Agent.qt gefunden

Kann ich diese dll nun einfach löschen oder was kann ich machen? Weiss jemand weiter..?

Dieser Beitrag wurde am 23.04.2006 um 20:12 Uhr von 3.14159a editiert.

23.04.2006, 23:10

Sabina

Ehrenmitglied

Beiträge: 29434

#2 3.14159a

RootkitRevealer (poste den scanreport)
http://www.sysinternals.com/Utilities/RootkitRevealer.html

---------------------------------------------------------------------------

1
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O20 - Winlogon Notify: winnvy32 - C:\WINDOWS\SYSTEM32\winnvy32.dll

PC neustarten

3.
loesche
C:\WINDOWS\SYSTEM32\winnvy32.dll
C:\WINDOWS\SYSTEM32\AdService.dll
C:\WINDOWS\SYSTEM32\TrueSoft.dat (??)

4.
Dr.Web
http://virus-protect.org/cureit.html

Poste bitte das, was drweb gefuinden hat. Dazu unter Start - Ausfuehren

%userprofil%\doctorweb\cureit.log

eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.

5.
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

Zitat

andere Variante...gehoert aber zur gleichen "Familie"

Inksaver_2.0_exe

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\AdService.dll.
* Creates file C:\WINDOWS\SYSTEM32\winnnw32.dll.
* Creates file C:\WINDOWS\TEMP\win8810.tmp.
* Creates file C:\WINDOWS\TEMP\win8810.tmp.exe.
* Deletes file C:\WINDOWS\TEMP\win8810.tmp.

-------------------------

Zitat

content.jdial.biz
ch.exe Internetadresse: content.jdial.biz/content/4646/ch.exe

JDIAL.BIZ
Domain ID: D12866681-BIZ
Sponsoring Registrar: ONLINENIC, INC. D/B/A CHINA-CHANNEL.COM
Sponsoring Registrar IANA ID: 82
Domain Status: ok
Registrant ID: OLNI_1866445_0_0
Registrant Name: DNS MANAGER
Registrant Organization: ABSOLUTEE CORP. LTD.
Registrant Address1: FLAT/RM B 8/F CHONG MING BUILDING 72 CHEUNG SHA WAN RD KL
Registrant City: Hongkong
Registrant State/Province: Hongkong
Registrant Postal Code: 999077
Registrant Country: China

Zitat

a571.php?m=1&b=779&c=4 Internetadresse: http://www.impotato.com/a412/a571.php?m=1&b=779&c=4
a571.php?m=1&b=779&c=5 Internetadresse: http://www.impotato.com/a412/a571.php?m=1&b=779&c=5

Domain Name: IMPOTATO.COM
Registrar: ONLINENIC, INC.
Whois Server: whois.OnlineNIC.com
Referral URL: http://www.OnlineNIC.com
Name Server: NS1.DNS-DIY.COM
Name Server: NS2.DNS-DIY.COM
Status: REGISTRAR-LOCK
Updated Date: 01-sep-2005
Creation Date: 31-aug-2005
Expiration Date: 31-aug-2006

name: ( Shelob )
mail: ( vv@cerinc.org ) +46.856614400
Organic
Technical Contactor:
BOX 712
Stockholm

OrgName: Psychz
OrgID: PSYCH-3
Address: 200 Paul Avenue
City: San Francisco
StateProv: CA
PostalCode: 94124
Country: US

NetRange: 69.50.184.0 - 69.50.184.255
CIDR: 69.50.184.0/24
NetName: PSYCHZ
NetHandle: NET-69-50-184-0-1
Parent: NET-69-50-160-0-1
NetType: Reassigned
NameServer: MAIL.ATRIVO.COM
NameServer: PAVEL.ATRIVO.COM
Comment:
RegDate: 2004-06-08
Updated: 2004-06-08

7 11 11 11 205.171.213.110 lap-brdr-01.inet.qwest.net
8 20 19 19 205.171.1.82
9 18 18 18 208.48.1.22 nlayer-communications-nlayer-in-palo-alto.ge-4-0-0.ar1.lax2.gblx.net
10 19 19 19 69.22.142.85 0.so-2-1-0.cr1.sfo1.us.nlayer.net
11 19 19 19 69.22.143.14 ge4-8.hr1.sfo1.us.nlayer.net
12 20 19 19 69.22.128.250 atrivo.ge1-4.hr1.sfo1.us.nlayer.net
13 20 21 20 69.50.184.131 69.50.184.131.bones.vg

__________
MfG Sabina

rund um die PC-Sicherheit

24.04.2006, 14:54

3.14159a

...neu hier

Themenstarter

Beiträge: 4

#3 Vielen Dank für Deine Hilfe, Sabina.

Zum Schritt 3:
- Ich konnte die Datei "C:\WINDOWS\SYSTEM32\winnvy32.dll" nicht löschen, es kam eine Meldung, dass der Zugriff verweigert wurde.
- Die Datei C:\WINDOWS\SYSTEM32\AdService.dll habe ich gar nicht
- C:\WINDOWS\SYSTEM32\TrueSoft.dat (??) habe ich nicht gelöscht, da sie laut online-test keine Gefahr darstellt

Habe dann trotzdem weiter gemacht. Wie könnte ich die Datei winnvy32.dll löschen?

Hier die verschiedenen Scanreports:

Scanreport von RootkitRevealer:
------------------------------

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 09.01.2006 11:07 0 bytes Access is denied.
C:\System Volume Information\catalog.wci\00010008.ci 24.04.2006 14:09 4.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\00010008.dir 24.04.2006 14:09 328 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\CiFLfffc.000 24.04.2006 14:09 240 bytes Hidden from Windows API.
C:\System Volume Information\catalog.wci\CiFLfffc.001 24.04.2006 14:09 512.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\CiFLfffc.002 24.04.2006 14:09 512.00 KB Hidden from Windows API.
C:\System Volume Information\catalog.wci\CiFLfffd.000 24.04.2006 14:03 240 bytes Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\catalog.wci\CiFLfffd.001 24.04.2006 14:03 512.00 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\catalog.wci\CiFLfffd.002 24.04.2006 14:03 512.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\winBD.tmp 24.04.2006 14:08 0 bytes Hidden from Windows API.
C:\WINDOWS\Temp\winBE.tmp 24.04.2006 14:08 0 bytes Hidden from Windows API.
C:\WINDOWS\Temp\winBF.tmp 24.04.2006 14:08 0 bytes Hidden from Windows API.
C:\WINDOWS\Temp\winC0.tmp 24.04.2006 14:10 0 bytes Hidden from Windows API.
C:\WINDOWS\Temp\winC1.tmp 24.04.2006 14:10 0 bytes Hidden from Windows API.
C:\WINDOWS\Temp\winC2.tmp 24.04.2006 14:10 0 bytes Hidden from Windows API.
C:\WINDOWS\Temp\winC3.tmp 24.04.2006 14:12 0 bytes Hidden from Windows API.
C:\WINDOWS\Temp\winC4.tmp 24.04.2006 14:12 0 bytes Hidden from Windows API.
C:\WINDOWS\Temp\winC5.tmp 24.04.2006 14:12 0 bytes Hidden from Windows API.
C:\WINDOWS\Temp\winC6.tmp 24.04.2006 14:14 0 bytes Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\winC7.tmp 24.04.2006 14:14 0 bytes Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\winC8.tmp 24.04.2006 14:14 0 bytes Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\winC9.tmp 24.04.2006 14:16 0 bytes Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\winCA.tmp 24.04.2006 14:16 0 bytes Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Temp\winCB.tmp 24.04.2006 14:16 0 bytes Visible in directory index, but not Windows API or MFT.

***************************************************************

Auszug aus Scanreport von Dr.Web:
---------------------------------

Dr.Web(R) Scanner für Windows v4.33.2 (4.33.2.03283)
Copyright (c) Igor Daniloff, 1992-2006

>C:\WINDOWS\system32\winnvy32.dll infiziert mit BackDoor.Madtro - wird nach dem Neustart desinfiziert

Prüfstatistiken

Geprüfte Objekte: 249
Infizierte Objekte gefunden: 1
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 1094 Kb/s
Dauer:: 00:00:48

***************************************************************

Scanreport von Kaspersky:

------------------------

Den Scan mit Kapersky konnte ich nicht durchführen. Es kam die Meldung:

Die Seite kann nicht angezeigt werden.
Die gewünschte Seite ist zurzeit nicht verfügbar. Möglicherweise sind technische Schwierigkeiten aufgetreten oder Sie sollten die Browsereinstellungen überprüfen.

Gibt es eine Alternative?

***************************************************************

--> Nach Neustart de Computers am Schluss, finde ich die Datei C:\WINDOWS\SYSTEM32\winnvy32.dll nicht mehr. Scheint ein gutes Zeichen zu sein, oder?

***************************************************************

Dieser Beitrag wurde am 24.04.2006 um 15:03 Uhr von 3.14159a editiert.

24.04.2006, 15:27

Sabina

Ehrenmitglied

Beiträge: 29434

#4 3.14159a

Datei pruefen
http://sandbox.norman.no/live_4.html

C:\WINDOWS\SYSTEM32\winnvy32.dll

poste den report

---------------------------------------

http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\tmp6B873.FOT
C:\WINDOWS\system32\tmp66873.FOT
C:\WINDOWS\system32\tmp61873.FOT
C:\WINDOWS\system32\tmp6C773.FOT
C:\WINDOWS\system32\tmp67773.FOT
C:\WINDOWS\system32\tmp2C673.FOT
C:\WINDOWS\Temp\winBD.tmp
C:\WINDOWS\Temp\winBE.tmp
C:\WINDOWS\Temp\winBF.tmp
C:\WINDOWS\Temp\winC0.tmp
C:\WINDOWS\Temp\winC1.tmp
C:\WINDOWS\Temp\winC2.tmp
C:\WINDOWS\Temp\winC3.tmp
C:\WINDOWS\Temp\winC4.tmp
C:\WINDOWS\Temp\winC5.tmp
C:\WINDOWS\Temp\winC6.tmp
C:\WINDOWS\Temp\winC7.tmp
C:\WINDOWS\Temp\winC8.tmp
C:\WINDOWS\Temp\winC9.tmp
C:\WINDOWS\Temp\winCA.tmp
C:\WINDOWS\Temp\winCB.tmp
C:\WINDOWS\winres.dll
C:\WINDOWS\SYSTEM32\winnvy32.dll

klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

kopiere hier das Log vom Avenger
__________
MfG Sabina

rund um die PC-Sicherheit

25.04.2006, 20:31

3.14159a

...neu hier

Themenstarter

Beiträge: 4

#5 Die Datei "C:\WINDOWS\SYSTEM32\winnvy32.dll" ist ja nicht mehr vorhanden (von Dr.Web entfernt) und konnte somit nicht getestet werden mit http://sandbox.norman.no/live_4.html

**********************************************

Habe nochmals mit Dr.Web ein Test durchgeführt (komplett, nicht nur Start-Test).
Bericht von Dr. Web:

[Prüfpfad] C:\
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\zylomgamesplayer.dll infiziert mit Trojan.StartPage.1381 - gelöscht
>C:\Dokumente und Einstellungen\Pia Krummenacher\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VQ3SBI7\ch[1].exe infiziert mit Trojan.DownLoader.4990 - gelöscht
C:\Dokumente und Einstellungen\Pia Krummenacher\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6LST8NAJ\srvqsl[1].exe infiziert mit BackDoor.Vuro - gelöscht
>C:\Programme\Ahead\Nero\NeroExpress_eng.chm\NeroBurningRom_eng.hhkC:\Programme\Common Files\Motive\InstallHelper.exe möglicherweise infiziert mit MULDROP.Trojan
C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll ist ein Adware-Programm Adware.Minibug
C:\Programme\xampp\apache\bin\pv.exe ist ein Risk-Programm Program.PrcView.3725 - ignoriert
C:\System Volume Information\_restore{9AEFED34-DF9B-475C-973F-217D05EE264C}\RP147\A0015535.dll infiziert mit Trojan.StartPage.1381 - gelöscht
>C:\System Volume Information\_restore{9AEFED34-DF9B-475C-973F-217D05EE264C}\RP197\A0020307.exe infiziert mit Dialer.Energy - nicht desinfizierbar - verschoben
>C:\System Volume Information\_restore{9AEFED34-DF9B-475C-973F-217D05EE264C}\RP198\A0020340.exe infiziert mit Dialer.Energy - nicht desinfizierbar - verschoben
>C:\System Volume Information\_restore{9AEFED34-DF9B-475C-973F-217D05EE264C}\RP198\A0020390.exe infiziert mit Dialer.Energy - nicht desinfizierbar - verschoben
>C:\System Volume Information\_restore{9AEFED34-DF9B-475C-973F-217D05EE264C}\RP203\A0020891.dll infiziert mit BackDoor.Madtro - gelöscht
C:\System Volume Information\_restore{9AEFED34-DF9B-475C-973F-217D05EE264C}\RP203\A0020907.dll infiziert mit Trojan.StartPage.1381 - gelöscht
>C:\WINDOWS\winres.dll infiziert mit Trojan.StartPage.1298 - gelöscht
>C:\WINDOWS\Temp\Del26.tmp infiziert mit Trojan.DownLoader.4990 - gelöscht

Prüfstatistiken

Geprüfte Objekte: 300891
Infizierte Objekte gefunden: 11
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 1
Adware-Programm gefunden: 1
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 8
Umbenannte Objekte: 0
Verschobene Objekte: 3
Ignorierte Objekte: 1
Leistung:: 12 Kb/s
Dauer:: 08:53:45

**********************************************

Bericht von Avenger:
--------------------

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\skdnhjpb

*******************

Script file located at: \??\C:\bbutdtxm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\tmp6B873.FOT deleted successfully.
File C:\WINDOWS\system32\tmp66873.FOT deleted successfully.
File C:\WINDOWS\system32\tmp61873.FOT deleted successfully.
File C:\WINDOWS\system32\tmp6C773.FOT deleted successfully.
File C:\WINDOWS\system32\tmp67773.FOT deleted successfully.
File C:\WINDOWS\system32\tmp2C673.FOT deleted successfully.

File C:\WINDOWS\Temp\winBD.tmp not found!
Deletion of file C:\WINDOWS\Temp\winBD.tmp failed!

Could not process line:
C:\WINDOWS\Temp\winBD.tmp
Status: 0xc0000034

File C:\WINDOWS\Temp\winBE.tmp not found!
Deletion of file C:\WINDOWS\Temp\winBE.tmp failed!

Could not process line:
C:\WINDOWS\Temp\winBE.tmp
Status: 0xc0000034

File C:\WINDOWS\Temp\winBF.tmp not found!
Deletion of file C:\WINDOWS\Temp\winBF.tmp failed!

Could not process line:
C:\WINDOWS\Temp\winBF.tmp
Status: 0xc0000034

File C:\WINDOWS\Temp\winC0.tmp not found!
Deletion of file C:\WINDOWS\Temp\winC0.tmp failed!

Could not process line:
C:\WINDOWS\Temp\winC0.tmp
Status: 0xc0000034

File C:\WINDOWS\Temp\winC1.tmp not found!
Deletion of file C:\WINDOWS\Temp\winC1.tmp failed!

Could not process line:
C:\WINDOWS\Temp\winC1.tmp
Status: 0xc0000034

File C:\WINDOWS\Temp\winC2.tmp not found!
Deletion of file C:\WINDOWS\Temp\winC2.tmp failed!

Could not process line:
C:\WINDOWS\Temp\winC2.tmp
Status: 0xc0000034

File C:\WINDOWS\Temp\winC3.tmp not found!
Deletion of file C:\WINDOWS\Temp\winC3.tmp failed!

Could not process line:
C:\WINDOWS\Temp\winC3.tmp
Status: 0xc0000034

File C:\WINDOWS\Temp\winC4.tmp not found!
Deletion of file C:\WINDOWS\Temp\winC4.tmp failed!

Could not process line:
C:\WINDOWS\Temp\winC4.tmp
Status: 0xc0000034

File C:\WINDOWS\Temp\winC5.tmp not found!
Deletion of file C:\WINDOWS\Temp\winC5.tmp failed!

Could not process line:
C:\WINDOWS\Temp\winC5.tmp
Status: 0xc0000034

File C:\WINDOWS\Temp\winC6.tmp not found!
Deletion of file C:\WINDOWS\Temp\winC6.tmp failed!

Could not process line:
C:\WINDOWS\Temp\winC6.tmp
Status: 0xc0000034

File C:\WINDOWS\Temp\winC7.tmp not found!
Deletion of file C:\WINDOWS\Temp\winC7.tmp failed!

Could not process line:
C:\WINDOWS\Temp\winC7.tmp
Status: 0xc0000034

File C:\WINDOWS\Temp\winC8.tmp not found!
Deletion of file C:\WINDOWS\Temp\winC8.tmp failed!

Could not process line:
C:\WINDOWS\Temp\winC8.tmp
Status: 0xc0000034

File C:\WINDOWS\Temp\winC9.tmp. not found!
Deletion of file C:\WINDOWS\Temp\winC9.tmp. failed!

Could not process line:
C:\WINDOWS\Temp\winC9.tmp.
Status: 0xc0000034

File C:\WINDOWS\Temp\winCA.tmp not found!
Deletion of file C:\WINDOWS\Temp\winCA.tmp failed!

Could not process line:
C:\WINDOWS\Temp\winCA.tmp
Status: 0xc0000034

File C:\WINDOWS\Temp\winCB.tmp not found!
Deletion of file C:\WINDOWS\Temp\winCB.tmp failed!

Could not process line:
C:\WINDOWS\Temp\winCB.tmp
Status: 0xc0000034

File C:\WINDOWS\SYSTEM32\winnvy32.dll not found!
Deletion of file C:\WINDOWS\SYSTEM32\winnvy32.dll failed!

Could not process line:
C:\WINDOWS\SYSTEM32\winnvy32.dll
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

25.04.2006, 22:09

Sabina

Ehrenmitglied

Beiträge: 29434

#6 es muesste wieder alles in Ordnung sein

das wuerde ich loeschen ....

C:\WINDOWS\system32\TrueSoft.dat
C:\Programme\Common Files\Motive\InstallHelper.exe

Zitat

C:\Programme\Ahead\Nero\NeroExpress_eng.chm\NeroBurningRom_eng.hhkC:\Programme\Common Files\Motive\InstallHelper.exe möglicherweise infiziert mit MULDROP.Trojan

wahrscheinlich ist der Trojaner ueber diesen Download auf den Rechner gelangt.....
__________
MfG Sabina

rund um die PC-Sicherheit

26.04.2006, 10:00

3.14159a

...neu hier

Themenstarter

Beiträge: 4

#7 Oke, habe die beiden Dateien gelöscht:
C:\WINDOWS\system32\TrueSoft.dat
C:\Programme\Common Files\Motive\InstallHelper.exe

Sabina, vielen vielen Dank für Deine Hilfe! Bis jetzt läuft alles wieder sauber...

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1