1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

WORM/Kido.FA

Discussion in 'Sicherheit' started by fragensteller99, Jan 12, 2009.

Thread Status:
Not open for further replies.
Page 2 of 2
  1. -humi-

    -humi- Joker

    das log sieht schon mal gut aus

    lade dir gmer und lasse damit dein System scannen+ bereinigen- poste anschl.das log

    abermals
    lasse bitte dein System mit >Malwarebytes Anti-Malware< Scannen- lasse vorerst nichts beheben, und poste hier das log
     
    -humi-, Jan 13, 2009
    #21
  2. fragensteller99

    fragensteller99 Byte

    GMER 1.0.14.14536 - http://www.gmer.net
    Rootkit scan 2009-01-13 18:29:41
    Windows 5.1.2600 Service Pack 2


    ---- System - GMER 1.0.14 ----

    SSDT F7A727EC ZwCreateThread
    SSDT F7A727D8 ZwOpenProcess
    SSDT F7A727DD ZwOpenThread
    SSDT F7A727E7 ZwTerminateProcess
    SSDT F7A727E2 ZwWriteVirtualMemory

    ---- User code sections - GMER 1.0.14 ----

    .text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[624] kernel32.dll!SetUnhandledExceptionFilter 7C810386 5 Bytes JMP 0056DBBD C:\Programme\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)

    ---- Devices - GMER 1.0.14 ----

    AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

    ---- Services - GMER 1.0.14 ----

    Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] agnfbpduc <-- ROOTKIT !!!

    ---- Registry - GMER 1.0.14 ----

    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc@DisplayName Config Time
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc@Type 32
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc@Start 2
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc@ErrorControl 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc@ObjectName LocalSystem
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc@Description Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt au?erdem COM+ Ereignissystembezieher von diesen Ereignissen.
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc\Parameters
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc\Parameters@ServiceDll C:\WINDOWS\system32\kdnexn.dll
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc@DisplayName Config Time
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc@Type 32
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc@Start 2
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc@ErrorControl 0
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc@ObjectName LocalSystem
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc@Description Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt au?erdem COM+ Ereignissystembezieher von diesen Ereignissen.
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc\Parameters
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc\Parameters@ServiceDll C:\WINDOWS\system32\kdnexn.dll

    ---- EOF - GMER 1.0.14 ----
     
    fragensteller99, Jan 13, 2009
    #22
  3. fragensteller99

    fragensteller99 Byte

    ups, ich merke gerade dass ich mit gmer nur C hab scannen lassen, und das bereinigen hab ich auch vergessen..

    läuft grad nochmal.. sorry
     
    fragensteller99, Jan 13, 2009
    #23
  4. fragensteller99

    fragensteller99 Byte

    so, jetzt hab ich alles scannen lassen.

    wie bereinige ich jetzt mit GMER??

    GMER 1.0.14.14536 - http://www.gmer.net
    Rootkit scan 2009-01-13 18:47:47
    Windows 5.1.2600 Service Pack 2


    ---- System - GMER 1.0.14 ----

    SSDT F7A727EC ZwCreateThread
    SSDT F7A727D8 ZwOpenProcess
    SSDT F7A727DD ZwOpenThread
    SSDT F7A727E7 ZwTerminateProcess
    SSDT F7A727E2 ZwWriteVirtualMemory

    ---- User code sections - GMER 1.0.14 ----

    .text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[624] kernel32.dll!SetUnhandledExceptionFilter 7C810386 5 Bytes JMP 0056DBBD C:\Programme\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)

    ---- Devices - GMER 1.0.14 ----

    AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

    ---- Services - GMER 1.0.14 ----

    Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] agnfbpduc <-- ROOTKIT !!!

    ---- Registry - GMER 1.0.14 ----

    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc@DisplayName Config Time
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc@Type 32
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc@Start 2
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc@ErrorControl 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc@ObjectName LocalSystem
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc@Description Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt au?erdem COM+ Ereignissystembezieher von diesen Ereignissen.
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc\Parameters
    Reg HKLM\SYSTEM\CurrentControlSet\Services\agnfbpduc\Parameters@ServiceDll C:\WINDOWS\system32\kdnexn.dll
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc@DisplayName Config Time
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc@Type 32
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc@Start 2
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc@ErrorControl 0
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc@ObjectName LocalSystem
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc@Description Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt au?erdem COM+ Ereignissystembezieher von diesen Ereignissen.
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc\Parameters
    Reg HKLM\SYSTEM\ControlSet003\Services\agnfbpduc\Parameters@ServiceDll C:\WINDOWS\system32\kdnexn.dll

    ---- EOF - GMER 1.0.14 ----
     
    fragensteller99, Jan 13, 2009
    #24
  5. -humi-

    -humi- Joker

    -humi-, Jan 13, 2009
    #25
  6. fragensteller99

    fragensteller99 Byte

    Malwarebytes' Anti-Malware 1.32
    Datenbank Version: 1645
    Windows 5.1.2600 Service Pack 2

    14.01.2009 01:17:41
    mbam-log-2009-01-14 (01-17-41).txt

    Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|H:\|)
    Durchsuchte Objekte: 185722
    Laufzeit: 1 hour(s), 6 minute(s), 33 second(s)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 5

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    C:\System Volume Information\_restore{922C5CDA-937C-4916-A5BA-903703997F5E}\RP2\A0002487.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    E:\System Volume Information\_restore{922C5CDA-937C-4916-A5BA-903703997F5E}\RP2\A0002488.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    E:\System Volume Information\_restore{922C5CDA-937C-4916-A5BA-903703997F5E}\RP2\A0002489.exe (Rogue.Installer) -> Quarantined and deleted successfully.
    G:\System Volume Information\_restore{922C5CDA-937C-4916-A5BA-903703997F5E}\RP2\A0002490.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    G:\System Volume Information\_restore{922C5CDA-937C-4916-A5BA-903703997F5E}\RP2\A0002491.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
     
    fragensteller99, Jan 14, 2009
    #26
  7. -humi-

    -humi- Joker

    -humi-, Jan 14, 2009
    #27
  8. fragensteller99

    fragensteller99 Byte

    so, wie gewünscht (habe ganz unten ne Anonymisierung durchgeführt):

    BitDefender Protokolldatei

    Produkt: BitDefender Total Security 2009
    Version: BitDefender UIScanner v.12
    Prüfaufgabe: Systemprüfung
    Protokoll Datum: 09:57:08 14/01/2009
    Protokoll Pfad: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender\Desktop\Profiles\Logs\full_scan\1231923428_1_02.xml

    PrüfpfadPfad 0000: C:\
    Pfad 0001: E:\
    Pfad 0002: F:\
    Pfad 0003: G:\

    PrüfoptionenAuf Viren prüfen: Ja
    Auf Adware prüfen: Ja
    Auf Spyware prüfen: Ja
    Auf Anwendungen prüfen: Ja
    Auf Dialer prüfen: Ja
    Auf Rootkits prüfen: Ja

    Optionen zur Zielauswahl:Registry-Schlüssel überprüfen: Ja
    Cookies überprüfen: Ja
    Boot-Sektoren überprüfen: Ja
    Speicher-Prozesse überprüfen: Ja
    Archive prüfen: Nein
    Laufzeitkomprimierung prüfen: Ja
    E-Mails prüfen: Nein
    Alle Dateien überprüfen: Ja
    Heuristische Prüfung: Ja
    Geprüfte Erweiterungen:
    Ausgeschlossene Erweiterungen:

    Ablauf für Ziel:Standardaktion, die bei einem Virenfund angewendet wird: Desinfiziert
    Standardaktion für verdächtige Objekte: Keine
    Standardaktion bei versteckten Objekten: Keine

    Zusammenfassung der PrüfungAnzahl der Virensignaturen: 2449424
    Archiv Plug-Ins: 45
    E-Mail Plug-Ins: 6
    Scan Plug-Ins: 13
    System Plug-Ins: 5
    Entpackungs-Plug-Ins: 7

    Gesamtübersicht der PrüfungGeprüfte Objekte: 142600
    Infizierte Objekte: 8
    Verdächtige Objekte: 0
    Geklärte Objekte: 8
    Ungeklärte Objekte: 8
    Passwortgeschützte Objekte: 8
    Einzelne Viren gefunden: 8
    Geprüfte Datenverzeichnisse: 15054
    Geprüfte Boot-Sektoren: 10
    Geprüfte Archive: 8
    Input-Output Fehler: 28
    Prüfzeit: 00:47:40
    Dateien pro Sekunde: 49

    Zusammenfassung der geprüften ProzesseGeprüft: 42
    Infiziert: 0

    Überprüft die Systemregistrierung von WindowsGeprüft: 889
    Infiziert: 0

    Übersicht der geprüften CookiesGeprüft: 889
    Infiziert: 0

    Gelöste ProblemeObjekt Name Bedrohungsname: Abschluss Status
    [System]=]C:\Dokumente und Einstellungen\fritz\Cookies\fritz@msnportal.112.2o7[1].txt Cookie.2o7 Gelöscht
    [System]=]C:\Dokumente und Einstellungen\fritz\Cookies\fritz@atdmt[2].txt Cookie.ATDMT Gelöscht
    [System]=]C:\Dokumente und Einstellungen\fritz\Cookies\fritz@adtech[1].txt Cookie.Adtech Gelöscht
    [System]=]C:\Dokumente und Einstellungen\fritz\Cookies\fritz@bs.serving-sys[1].txt Cookie.BS.Serving-Sys Gelöscht
    [System]=]C:\Dokumente und Einstellungen\fritz\Cookies\fritz@doubleclick[2].txt Cookie.DoubleClick Gelöscht
    [System]=]C:\Dokumente und Einstellungen\fritz\Cookies\fritz@mediaplex[2].txt Cookie.Mediaplex Gelöscht
    [System]=]C:\Dokumente und Einstellungen\fritz\Cookies\fritz@tradedoubler[2].txt Cookie.TradeDoubler Gelöscht
    [System]=]C:\Dokumente und Einstellungen\fritz\Cookies\fritz@weborama[2].txt Cookie.Weborama Gelöscht


    Nicht zu prüfende ObjekteObjekt Name Grund Abschluss Status
    G:\*.pdf Passwortgeschützt Keine Aktion möglich
    G:\*.pdf Passwortgeschützt Keine Aktion möglich
    G:\*.pdf Passwortgeschützt Keine Aktion möglich
    G:\*.pdf Passwortgeschützt Keine Aktion möglich
    G:\*.tif Passwortgeschützt Keine Aktion möglich
    G:\*.tif Passwortgeschützt Keine Aktion möglich
    G:\*.tif Passwortgeschützt Keine Aktion möglich
    G:\*.tif Passwortgeschützt Keine Aktion möglich
     
    fragensteller99, Jan 14, 2009
    #28
  9. -humi-

    -humi- Joker

    habe fertig- bei Problemen einfach wieder kommen
     
    -humi-, Jan 14, 2009
    #29
  10. fragensteller99

    fragensteller99 Byte

    verdammt! Wechselfestplatte H wurde irgendwie "nicht erkannt" als ich den scan mit bitdefender durchgeführt habe.

    jetzt hab ich H angeschlossen, und bitdefener hat auch den bereits genannten wurm gefunden.

    aber auf C scheint er weg zu sein?
     
    fragensteller99, Jan 14, 2009
    #30
  11. fragensteller99

    fragensteller99 Byte

    oder soll ich einfach H neu formatieren, in der hoffnung, dass er - weil er ja wohl nicht mehr auf C ist - somit weg ist.

    danke für alles.. by the way..
     
    fragensteller99, Jan 14, 2009
    #31
  12. -humi-

    -humi- Joker

    Post #16:
    das wär eigentlich unter Vorarbeit gefallen und durch das anstecken kannst du deinen PC immer wieder infizieren-- meinst du ich arbeite umsonst oder sage sowas nur zum Spass?

    edit: formatieren und anschl. C erneut scannen mittels malwarebytes Antimalware
     
    -humi-, Jan 14, 2009
    #32
Page 2 of 2
Thread Status:
Not open for further replies.

Share This Page