Home » Viren, Trojaner & Malware Forum » TR/Obfuscated, nicht entfernbar mit AntiVir? » Themenansicht

TR/Obfuscated, nicht entfernbar mit AntiVir?

Thema ist geschlossen!
Thema ist geschlossen!
#0
19.01.2007, 12:22
KeeT
...neu hier

Beiträge: 3
#1 Hallo, ich habe gestern das Programm Netdumper installiert...und seitdem habe ich den Trojaner TR/Obfuscated auf meinem Rechner, AntiVir erkennt ihn zwar aber löschen lassen tut er sich nicht... er zeigt ihn immer wieder an. Kann mir jemand helfen?

Logfile of HijackThis v1.99.1
Scan saved at 12:17:41, on 19.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
X:\Spiele\AntiVir PersonalEdition Classic\sched.exe
X:\Spiele\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
P:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
P:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
P:\Programme\QuickTime Alternative\qttask.exe
P:\Programme\ICQ5\ICQLite.exe
P:\Programme\Spybot - Search & Destroy\TeaTimer.exe
P:\Programme\ICQPlus\vplus.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
x:\spiele\intern~1\iexplore.exe
P:\Programme\Winamp\winamp.exe
P:\Programme\Neuer Ordner\firefox.exe
X:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - P:\Programme\Acrobat Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] P:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "P:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [QuickTime Task] "P:\Programme\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "P:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] P:\Programme\ICQ5\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [interboobchingrim] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VCDEBUGINTERBOOB\film open.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] P:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ICQ Plus] "P:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] P:\Programme\purgatio pro\checker.exe /check
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [THUNK BYTE] C:\DOKUME~1\Besitzer\ANWEND~1\SCRINS~1\inter htm stupid.exe
O4 - HKCU\..\Run: [WhenUSave] "X:\Spiele\Save\Save.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] P:\Programme\ICQ5\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = P:\Programme\Acrobat Reader\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://P:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - P:\Programme\ICQ5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - P:\Programme\ICQ5\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121464322578
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{56B4A16C-CDC7-42EC-85DE-052C8490C97F}: NameServer = 195.50.140.114 195.50.140.252
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - X:\Spiele\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - X:\Spiele\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
19.01.2007, 14:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.01.2007, 14:48
KeeT
...neu hier

Themenstarter

Beiträge: 3
#3 Okay, daas kam dabei raus:

"Besitzer" - 07-01-19 14:41:29 Service Pack 2
ComboFix 07-01-18 - Running from: "X:\Downloads"

((((((((((((((((((((((((((((((( Files Created from 2006-12-19 to 2007-01-19 ))))))))))))))))))))))))))))))))))


2007-01-19 12:02 60,416 --a------ C:\WINDOWS\system32\drivers\uplnevkn.sys
2007-01-19 12:02 126,976 --a------ C:\zip.exe
2007-01-19 12:02 123 --a------ C:\avexport.bat
2007-01-19 12:02 1,080 --a------ C:\xcubrrwr.bat
2007-01-19 12:02 <DIR> d-------- C:\Avenger
2007-01-18 23:20 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-01-18 23:17 <DIR> d-------- C:\DOKUME~1\Besitzer\.housecall6.6
2007-01-18 15:33 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\VCDEBUGINTERBOOB
2007-01-18 15:32 <DIR> d-------- C:\DOKUME~1\Besitzer\Anwendungsdaten\Scr Inside Cast
2007-01-18 15:32 <DIR> d-------- C:\DOKUME~1\Besitzer\Anwendungsdaten\NetPumper
2007-01-11 19:19 <DIR> d-------- C:\WINDOWS\ie7updates


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-19 12:09 17408 --a------ C:\WINDOWS\system32\drivers\USBCRFT.SYS
2007-01-14 23:06 -------- d-------- C:\DOKUME~1\Besitzer\Anwendungsdaten\openoffice.org2
2006-12-07 07:40 2362184 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-10-20 02:38 715776 --a------ C:\WINDOWS\system32\sxs.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"SpybotSD TeaTimer"="P:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"ICQ Plus"="\"P:\\Programme\\ICQPlus\\vplus.exe\""
"Steam"=""
"WashAndGo - Cleanup of old Backupfiles"="P:\\Programme\\purgatio pro\\checker.exe /check"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"THUNK BYTE"="C:\\DOKUME~1\\Besitzer\\ANWEND~1\\SCRINS~1\\inter htm stupid.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="P:\\Programme\\ICQ5\\ICQLite.exe -trayboot"
"CounterSpyCleaner"="P:\\Programme\\CounterSpy\\sunASCleaner.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"Logitech Utility"="Logi_MwX.Exe"
"Dit"="Dit.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Zone Labs Client"="P:\\Programme\\ZoneAlarm\\zlclient.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_04\\bin\\jusched.exe"
"iTunesHelper"="\"P:\\Programme\\iTunes\\iTunesHelper.exe\""
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"QuickTime Task"="\"P:\\Programme\\QuickTime Alternative\\qttask.exe\" -atboottime"
"AVGCtrl"="\"P:\\Programme\\AntiVir\\AVGNT.EXE\" /min"
"ICQ Lite"="P:\\Programme\\ICQ5\\ICQLite.exe -minimize"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"interboobchingrim"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\VCDEBUGINTERBOOB\\film open.exe"
"SunServer"="P:\\Programme\\CounterSpy\\sunserver.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"P:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\THUNK BYTE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="inter htm stupid"
"hkey"="HKCU"
"command"="C:\\DOKUME~1\\Besitzer\\ANWEND~1\\SCRINS~1\\inter htm stupid.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{076394AD-7FDD-44EF-A075-32C68DBAB99B}"=""

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
bthsvcs REG_MULTI_SZ BthServ\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D]
Shell\AutoRun\command D:\autorun.exe
Shell\install\command D:\autorun.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0dad13c1-e0fb-11d9-a883-806d6172696f}]
Shell\AutoRun\command D:\AUTORUN\AUTORUN.EXE


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 07-01-19 14:42:27
Seitenanfang Seitenende
19.01.2007, 16:12
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 KeeT

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\run|interboobchingrim

Folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VCDEBUGINTERBOOB
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Scr Inside Cast
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\NetPumper
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [interboobchingrim] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VCDEBUGINTERBOOB\film open.exe

O4 - HKCU\..\Run: [THUNK BYTE] C:\DOKUME~1\Besitzer\ANWEND~1\SCRINS~1\inter htm stupid.exe ;)


ich hoffe, dann bist du vom Netpumper geheilt................
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.01.2007, 11:23
KeeT
...neu hier

Themenstarter

Beiträge: 3
#5 Also bis jetzt kam keine Anteige mehr das der Trojaner noch drauf ist. Vielen vielen dank!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1