TR/Vundo.Gen und zugleich weitere Trojanische PferdeThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
09.10.2006, 09:31
...neu hier
Beiträge: 5 |
||
|
||
09.10.2006, 09:51
Ehrenmitglied
Beiträge: 29434 |
#2
««
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html «« poste dieses log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.10.2006, 10:27
...neu hier
Themenstarter Beiträge: 5 |
#3
Hallo Sabina,
clean up gemacht nach Vorgabe (110.00o Dateien) hier combofix, danach die 6 datfindbat logs: Frank - 06-10-09 10:07:16,75 Service Pack 1 ComboFix 06.09.28 - Running from: "C:\Programme" ((((((((((((((((((((((((((((((( Files Created from 2006-09-09 to 2006-10-09 )))))))))))))))))))))))))))))))))) 2006-10-08 21:58 57,344 --a------ C:\WINDOWS\uneng.exe 2006-10-08 18:57 8,012 --a------ C:\WINDOWS\algs.exe 2006-10-03 20:16 156,160 --a------ C:\WINDOWS\system32\drivers\b57xp32.sys (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-10-09 09:40 289 --a------ C:\Programme\datFind.zip 2006-10-09 09:36 276526 --a------ C:\Programme\combofix.exe 2006-10-08 22:43 212849 --a------ C:\Programme\hijackthis.zip 2006-10-08 21:58 30630 --a------ C:\WINDOWS\system32\drivers\Mmc_2k.sys 2006-10-08 21:58 25898 --a------ C:\WINDOWS\system32\drivers\Dvd_2k.sys 2006-10-08 21:58 206464 --a------ C:\WINDOWS\system32\drivers\udfreadr_xp.sys 2006-10-08 21:58 143834 --a------ C:\WINDOWS\system32\drivers\pwd_2K.sys 2006-10-08 21:58 -------- d-------- C:\Programme\Roxio 2006-10-08 21:58 -------- d-------- C:\Programme\Gemeinsame Dateien\Adaptec Shared 2006-10-08 21:58 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-10-07 22:55 -------- d-------- C:\Programme\CleanUp! 2006-10-07 22:54 339257 --a------ C:\Programme\CleanUp452.exe 2006-10-03 20:16 -------- d-------- C:\Programme\Broadcom 2006-09-19 09:46 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic 2006-08-24 15:11 -------- d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Help 2006-08-10 23:40 23944 --a------ C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-07-21 20:45 4489784 --a------ C:\Programme\pdfmailer3stdde.exe 2006-07-21 17:38 2846357 --a------ C:\Programme\ad302en[1].sit.hqx 2006-07-10 17:45 73 --a------ C:\WINDOWS\system32\ssprs.dll 2006-07-10 17:45 205 --a------ C:\WINDOWS\system32\lsprst7.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Dell Wireless Manager UI"="C:\\WINDOWS\\System32\\WLTRAY" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "Windows Logon Application"="C:\\WINDOWS\\System32\\winIogon.exe" "AdaptecDirectCD"="\"C:\\Programme\\Roxio\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "CDRAutoRun"=dword:00000000 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "CDRAutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" "yuWTJLSThq"="{5858285D-F2F2-82F7-541F-D64A75C21700}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk" "backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\INTERV~1\\Common\\Bin\\WINCIN~1.EXE " "item"="InterVideo WinCinema Manager" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="qttask" "hkey"="HKLM" "command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "inimapping"="0" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll Completion time: 09.10.2006 10:07:41.17 ComboFix.txt ------------------------------------ die 6 Datfindbat Dateien (geordnet nach Anleitung): Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5858-285C Verzeichnis von C:\WINDOWS\system32 03.10.2006 20:20 48.552 perfc007.dat 03.10.2006 20:20 317.168 perfh007.dat 03.10.2006 20:20 40.326 perfc009.dat 03.10.2006 20:20 311.938 perfh009.dat 03.10.2006 20:20 723.744 PerfStringBackup.INI 03.10.2006 12:02 2.206 wpa.dbl 29.07.2006 13:53 465 Datei6 29.07.2006 13:53 469 Datei5 29.07.2006 13:53 467 Datei9 29.07.2006 13:53 467 Datei8 29.07.2006 13:53 469 Datei7 29.07.2006 13:53 467 Datei10 29.07.2006 13:53 471 Datei2 29.07.2006 13:53 470 Datei1 29.07.2006 13:53 471 Datei4 29.07.2006 13:53 470 Datei3 29.07.2006 13:53 468 Datei0 22.07.2006 01:16 130.096 FNTCACHE.DAT 10.07.2006 17:45 87 ssprs.tgz 10.07.2006 17:45 73 ssprs.dll 10.07.2006 17:45 219 lsprst7.tgz 10.07.2006 17:45 205 lsprst7.dll 23.06.2006 10:29 57.384 avsda.dll 19.01.2006 16:29 82.944 usbkt1x1.dll ----- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5858-285C Verzeichnis von C:\DOKUME~1\Frank\LOKALE~1\Temp ---- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5858-285C Verzeichnis von C:\WINDOWS 09.10.2006 10:03 8.012 algs.exe 09.10.2006 10:02 0 0.log 09.10.2006 10:02 1.699.149 WindowsUpdate.log 09.10.2006 10:02 2.048 bootstat.dat 09.10.2006 10:01 32.642 SchedLgU.Txt 08.10.2006 21:58 57.344 uneng.exe 08.10.2006 21:57 316.640 WMSysPr9.prx 08.10.2006 21:57 790.569 setupapi.log 04.10.2006 16:00 82.573 wmsetup.log 03.10.2006 20:19 883 nsw.log 29.09.2006 21:49 54.156 QTFont.qfn 27.08.2006 23:04 6.275 KB893803v2.log 27.08.2006 23:03 54.406 iis6.log 27.08.2006 23:03 18.173 comsetup.log 27.08.2006 23:03 13.014 tsoc.log 27.08.2006 23:03 9.328 ntdtcsetup.log 27.08.2006 23:03 1.374 imsins.log 27.08.2006 23:03 1.668 tabletoc.log 27.08.2006 23:03 7.038 KB898461.log 27.08.2006 23:03 3.560 netfxocm.log 27.08.2006 23:03 18.590 ocgen.log 27.08.2006 23:03 1.277 ocmsn.log 27.08.2006 23:03 1.177 msgsocm.log 27.08.2006 23:03 17.720 FaxSetup.log 27.08.2006 23:03 11.896 msmqinst.log 27.08.2006 13:06 227 system.ini 27.08.2006 13:06 745 win.ini 27.08.2006 00:41 1.409 QTFont.for 24.08.2006 23:23 50 wiaservc.log 24.08.2006 23:23 214 wiadebug.log 24.03.2006 21:55 252 cdplayer.ini --------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5858-285C Verzeichnis von C:\WINDOWS\Temp --------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5858-285C Verzeichnis von C:\WINDOWS\Downloaded Program Files 02.08.2005 16:48 495 LegitCheckControl.inf 26.07.2005 22:57 65 desktop.ini 26.05.2005 05:19 293 muweb.inf 03.06.2004 10:04 524.445 RdxIE.dll 27.01.2004 19:14 2.299 mp43dmo.inf 08.12.2003 13:58 3.759 swflash.inf 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 14.10.1997 18:52 697 DirectAnimation Java Classes.osd 8 Datei(en) 533.215 Bytes 0 Verzeichnis(se), 12.555.595.776 Bytes frei --------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5858-285C Verzeichnis von C:\ 09.10.2006 10:14 0 sys.txt 09.10.2006 10:14 688 down.txt 09.10.2006 10:13 117 temp.txt 09.10.2006 10:13 117 tmp.txt 09.10.2006 10:13 1.623 windows.txt 09.10.2006 10:12 5.186 system.txt 09.10.2006 10:12 133 systemtemp.txt 09.10.2006 10:11 1.248 system32.txt 09.10.2006 10:08 6.855 ComboFix Scan 09102006.txt 09.10.2006 10:07 6.855 ComboFix.txt 09.10.2006 10:02 1.073.741.824 pagefile.sys 28.09.2006 09:50 697.886 Bild Feier Herr K”hler 09-2006 27.08.2006 13:06 304 boot.ini 24.07.2006 10:50 128.000 Text Frank Habann 2.0.doc 24.07.2006 09:58 74.752 Fragen Examen End WS 2006.doc 24.07.2006 08:53 24.064 Review_Frank Habann.doc 21.07.2006 13:21 77.824 Fragen Examen WS 2006.doc 07.04.2006 17:07 121.344 Text Frank Habann.doc 12.12.2005 19:20 137.728 Literaturliste Aufsatz Dal Zotto Kranenburg.doc 03.12.2005 17:49 8.704 MyGraph.grf 26.07.2005 22:58 0 AUTOEXEC.BAT 26.07.2005 22:58 0 MSDOS.SYS 26.07.2005 22:58 0 IO.SYS 26.07.2005 22:58 0 CONFIG.SYS 11.09.2002 17:11 235.296 ntldr 11.09.2002 17:11 47.580 NTDETECT.COM 11.09.2002 16:57 4.952 bootfont.bin 27 Datei(en) 1.075.323.080 Bytes 0 Verzeichnis(se), 12.555.591.680 Bytes frei ---- Vielen Dank für deine Hilfe im Voraus!! Frank |
|
|
||
09.10.2006, 10:32
Ehrenmitglied
Beiträge: 29434 |
#4
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\System32\winIogon.exe C:\WINDOWS\algs.exe poste die reporte ______ ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.10.2006, 14:06
...neu hier
Themenstarter Beiträge: 5 |
#5
Hallo Sabina, danke.
servicefilter s. unten. bei virustotal nach 2 Stunden keine response auf die 2 Dateien. Es gibt die Option, sie ihnen per email zuzuschicken: aber sie geben keine Email Adr an. alternativen? ------------------ The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 Service Pack 1 Okt 9, 2006 11:40:07 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: AntiVirScheduler Display Name: AntiVir Scheduler Start Mode: Auto Start Name: LocalSystem Description: Dienst zur Planung und Steuerung von Prüf- und Updateaufgaben der AntiVir PersonalEdition ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\sched.exe State: Running Process ID: 1816 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 2 Service Name: AntiVirService Display Name: AntiVir PersonalEdition Classic Service Start Mode: Auto Start Name: LocalSystem Description: Echtzeit Virenschutz durch H+BEDV AntiVir ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\avguard.exe State: Running Process ID: 1828 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 3 Service Name: IDriverT Display Name: InstallDriver Table Manager Start Mode: Manual Start Name: LocalSystem Description: Provides support for the Running Object Table for InstallShield ... Service Type: Own Process Path: c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #4 Service Name: iPodService Display Name: iPodService Start Mode: Manual Start Name: LocalSystem Description: iPod hardware management ... Service Type: Own Process Path: c:\programme\ipod\bin\ipodservice.exe State: Running Process ID: 2020 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #5 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{af635e81-58af-44da-94a4-a6f8e78b45a7} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 6 Service Name: wltrysvc Display Name: Dell Wireless WLAN Tray Service Start Mode: Auto Start Name: LocalSystem Description: Provides automatic configuration for the 802.11 adapter using the Broadcom ... Service Type: Own Process Path: c:\windows\system32\wltrysvc.exe c:\windows\system32\bcmwltry.exe State: Running Process ID: 1488 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr ---> End Service Listing <--- There are 85 Win32 services on this machine. 6 were unrecognized. Script Execution Time: 1,804688 seconds. ---- Danke und Gruss Frank |
|
|
||
09.10.2006, 14:14
Ehrenmitglied
Beiträge: 29434 |
#6
der Rechner ist verseucht....
versuche es mit Einzelne Dateien scannen (siehe unten auf der Seite) http://virus-protect.org/onlinescan.html virusscan.jotti sandbox.norman kaspersky C:\WINDOWS\System32\winIogon.exe C:\WINDOWS\algs.exe --------------------- Start > Ausfuehren --> reinschreiben --> cmd.exe und ok. kopiere rein und poste alles, was im Texteditor erscheint dir /s /a "c:\winIogon*.*" > c:\find.txt & start notepad c:\find.txt __________________ Information: http://virus-protect.org/artikel/spyware/winlogonexe.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.10.2006, 14:30
...neu hier
Themenstarter Beiträge: 5 |
#7
Sabina, danke.
Das klingt nicht gut. Soll ich einfach den Rechner neu aufsetzen und Mozilla Firefox installieren? Scheint mir die sauberste Lösung. Gruss und vielen Dank Frank |
|
|
||
09.10.2006, 14:53
Ehrenmitglied
Beiträge: 29434 |
#8
ja, das waere das beste
und unbedingt die Windowsupdates machen - SP2 !!!!! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.10.2006, 13:30
...neu hier
Themenstarter Beiträge: 5 |
#9
Hallo Sabina,
habe neuaufgesetzt, Firefox und SP2 . Läuft wieder sehr gut. Vielen Dank!! PS Der Trojaner wurde mir von einem IT-Experten übrigens als der bekannte sasser-Virus benannt. Der versuchte sich ohne SP2 nach wenigen Sekunden wieder einzunisten. Also ist es wichtig, SP2 vorher von CD einzuladen. PS II: zur guten vollständigkeit noch der Scan der 2 Dateien von norman Sandbox: Your message ID (for later reference): 20061009-1422 Hello, Thanks for taking the time to submit your samples to the Norman Sandbox Information Center. Customer delight is our top priority at Norman. With that in mind we have developed Sandbox Solutions for organizations that are committed to speedy analysis and debugging. algs.exe : W32/Downloader (Signature: NO_VIRUS) [ General information ] * File length: 8012 bytes. * MD5 hash: 92850f7b07bd6279a8e1b4206de7964f. [ Changes to filesystem ] * Creates file C:\WINDOWS\wu.exe. * Creates file C:\WINDOWS\is941.exe. [ Network services ] * Opens URL: http://promo.dollarrevenue.com/webmasterexe/drsmartload114a.exe. * Opens URL: http://71.18.116.75/is941.exe. [ Security issues ] * Starting downloaded file - potential security problem. [ Signature Scanning ] * C:\WINDOWS\wu.exe (4096 bytes) : no signature detection. * C:\WINDOWS\is941.exe (4096 bytes) : no signature detection. (C) 2004-2006 Norman ASA. All Rights Reserved. The material presented is distributed by Norman ASA as an information source only. Sent by rivegauche@swissonline.ch. Received 9.Oct 2006 at 15.04 - processed 9.Oct 2006 at 15.02. winIogon.exe : Not detected by Sandbox (Signature: NO_VIRUS) [ General information ] * File length: 51068 bytes. * MD5 hash: 893fe125e53b7c8486320326c129b1aa. [ Changes to filesystem ] * Deletes file C:\WINDOWS\SYSTEM32\lssas.exe. * Creates file C:\WINDOWS\SYSTEM32\lssas.exe. * Deletes file luaz.bat. * Creates file C:\\luaz.bat. * Deletes file ioav.bat. * Creates file C:\WINDOWS\SYSTEM32\ioav.bat. [ Changes to registry ] * Deletes value "Windows DLL Loader" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". [ Process/window information ] * Creates a mutex EE00912D0000000015AE5E4E3AFFF23D56D019285DE. * Attemps to open luaz.bat NULL. * Attemps to open ioav.bat NULL. [ Signature Scanning ] * C:\WINDOWS\SYSTEM32\lssas.exe (51068 bytes) : no signature detection. * C:\WINDOWS\SYSTEM32\ioav.bat (117 bytes) : no signature detection. (C) 2004-2006 Norman ASA. All Rights Reserved. The material presented is distributed by Norman ASA as an information source only. Sent by rivegauche@swissonline.ch. Received 9.Oct 2006 at 15.03 - processed 9.Oct 2006 at 15.03. ---- |
|
|
||
auf meinem Rechner unter XP hat sich vorgestern TR/Vundo.Gen in c:/windows/system32/is941.exe eingenistet. Symptome: Internet extrem verlangsamt, arbeiten sehr schwer. Seit gestern sind zwei weitere hinzugekommen:
TR/Dldr.Adload.FU.18 in c:/windows/system32/wu.exe
und
TR/ LowZones.bh.14 in C/windows.../mediagateway.dll
Ist Hilfe möglich?
Anbei Logfile Hijackthis. Clean up sowie combofix und datfindbat liefere ich spfort nach neustart nach.
Vielen Dank!!
Frank
Logfile of HijackThis v1.99.1
Scan saved at 09:24:49, on 09.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WLTRAY.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\winIogon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
c:\windows\algs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\System32\WLTRAY
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c415.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/026cb6408c9607397622/netzip/RdxIE601_de.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136753542857
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - D:\Player\__CDS2.dll (file missing)
O21 - SSODL: yuWTJLSThq - {5858285D-F2F2-82F7-541F-D64A75C21700} - C:\WINDOWS\System32\hhix.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
----