Recycler-Virus die X-te?

lolawl · 21.03.2009, 16:52

Hallo an alle,

vorab möchte ich mich entschuldigen, dass ich den hundertsten Thread eröffnet habe, der sich mit diesem Problem befasst, aber ich wusste nicht ob es nicht unhöflicher ist, mich im Thread eines anderen Users mit meinem Problem einzuklinken (falls ich mich irre, bitte aufklären

)
Also, wie gesagt: auch ich habe das Problem mit der Fehlermeldung von RunDLL, das der Ordner .\RECYCLER\5-4-3-.... nicht gefunden wurde, allerdings
1.) nicht auf einer meiner Partitionen sondern auf einem USB-Stick (und nur dort!)
2.) sucht er bei mir nicht nach einer .com- sondern nach einer .vmx-Datei (Filext sagt, dass es sich um ein VMware Configuration File handeln soll?!)

Auch eine autorun.inf war auf dem Stick vorhanden, jedoch nicht sichtbar obwohl ich die Einstellungen auf "Alle Dateien und Ordner anzeigen" geändert habe, was mich schonmal sehr stutzig macht. Der Inhalt dieser Datei ist unleserlich, aber ein Verweis auf die eben genannte vmx-Datei war vorhanden:

Code:

shelLExECUte=RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
;z

1x HijackThis-Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:50:43, on 21.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\Analog Devices\SoundMAX\SoundTray.exe
C:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files (x86)\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundTray] "C:\Program Files (x86)\Analog Devices\SoundMAX\SoundTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files (x86)\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files (x86)\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files (x86)\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O13 - Gopher Prefix: 
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8052 bytes

1x GMER-Log (diese Tralala.exe)

Code:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-21 13:36:57
Windows 6.0.6001 Service Pack 1


---- Services - GMER 1.0.14 ----

Service  C:\Windows\system32\svchost.exe (*** hidden *** )                                                      [AUTO] aclsxkuni                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          <-- ROOTKIT !!!
Service  C:\Windows\system32\svchost.exe (*** hidden *** )                                                      [AUTO] cuyjdfrfc                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          <-- ROOTKIT !!!
Service  C:\Windows\system32\svchost.exe (*** hidden *** )                                                      [AUTO] huycelk                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            <-- ROOTKIT !!!
Service  C:\Windows\system32\svchost.exe (*** hidden *** )                                                      [AUTO] mfvoinvrv                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          <-- ROOTKIT !!!
Service  C:\Windows\system32\svchost.exe (*** hidden *** )                                                      [AUTO] nlljhlaa                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                           <-- ROOTKIT !!!
Service  C:\Windows\system32\svchost.exe (*** hidden *** )                                                      [AUTO] pexut                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              <-- ROOTKIT !!!
Service  C:\Windows\system32\svchost.exe (*** hidden *** )                                                      [AUTO] rvgcsg                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                             <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\aclsxkuni@DisplayName                                           Shell Helper
Reg      HKLM\SYSTEM\CurrentControlSet\Services\aclsxkuni@Type                                                  32
Reg      HKLM\SYSTEM\CurrentControlSet\Services\aclsxkuni@Start                                                 2
Reg      HKLM\SYSTEM\CurrentControlSet\Services\aclsxkuni@ErrorControl                                          0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\aclsxkuni@ImagePath                                             %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\CurrentControlSet\Services\aclsxkuni@ObjectName                                            LocalSystem
Reg      HKLM\SYSTEM\CurrentControlSet\Services\aclsxkuni@Description                                           Registriert und aktualisiert IP-Adressen und DNS-Eintr?ge f?r diesen Computer. Dieser Computer kann keine dynamischen IP-Adressen und DNS-Aktualisierungen empfangen, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg      HKLM\SYSTEM\CurrentControlSet\Services\aclsxkuni\Parameters                                            
Reg      HKLM\SYSTEM\CurrentControlSet\Services\aclsxkuni\Parameters@ServiceDll                                 C:\Windows\system32\liorlu.dll
Reg      HKLM\SYSTEM\CurrentControlSet\Services\cuyjdfrfc@DisplayName                                           Update Driver
Reg      HKLM\SYSTEM\CurrentControlSet\Services\cuyjdfrfc@Type                                                  32
Reg      HKLM\SYSTEM\CurrentControlSet\Services\cuyjdfrfc@Start                                                 2
Reg      HKLM\SYSTEM\CurrentControlSet\Services\cuyjdfrfc@ErrorControl                                          0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\cuyjdfrfc@ImagePath                                             %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\CurrentControlSet\Services\cuyjdfrfc@ObjectName                                            LocalSystem
Reg      HKLM\SYSTEM\CurrentControlSet\Services\cuyjdfrfc@Description                                           Der Diagnoserichtliniendienst erm?glicht die Problemerkennung,  Problembehandlung und L?sung f?r Windows-Komponenten. Wenn dieser Dienst beendet wird, funktioniert die Diagnose nicht mehr. Wenn dieser Dienst deaktiviert wird, k?nnen alle ausdr?cklich von diesem Dienst abh?ngigen Dienste nicht gestartet werden.
Reg      HKLM\SYSTEM\CurrentControlSet\Services\cuyjdfrfc\Parameters                                            
Reg      HKLM\SYSTEM\CurrentControlSet\Services\cuyjdfrfc\Parameters@ServiceDll                                 C:\Windows\system32\liorlu.dll
Reg      HKLM\SYSTEM\CurrentControlSet\Services\huycelk@DisplayName                                             Universal Update
Reg      HKLM\SYSTEM\CurrentControlSet\Services\huycelk@Type                                                    32
Reg      HKLM\SYSTEM\CurrentControlSet\Services\huycelk@Start                                                   2
Reg      HKLM\SYSTEM\CurrentControlSet\Services\huycelk@ErrorControl                                            0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\huycelk@ImagePath                                               %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\CurrentControlSet\Services\huycelk@ObjectName                                              LocalSystem
Reg      HKLM\SYSTEM\CurrentControlSet\Services\huycelk@Description                                             Koordiniert Transaktionen zwischen MSDTC und dem Kerneltransaktions-Manager (KTM).
Reg      HKLM\SYSTEM\CurrentControlSet\Services\huycelk\Parameters                                              
Reg      HKLM\SYSTEM\CurrentControlSet\Services\huycelk\Parameters@ServiceDll                                   C:\Windows\system32\liorlu.dll
Reg      HKLM\SYSTEM\CurrentControlSet\Services\mfvoinvrv@DisplayName                                           Universal Config
Reg      HKLM\SYSTEM\CurrentControlSet\Services\mfvoinvrv@Type                                                  32
Reg      HKLM\SYSTEM\CurrentControlSet\Services\mfvoinvrv@Start                                                 2
Reg      HKLM\SYSTEM\CurrentControlSet\Services\mfvoinvrv@ErrorControl                                          0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\mfvoinvrv@ImagePath                                             %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\CurrentControlSet\Services\mfvoinvrv@ObjectName                                            LocalSystem
Reg      HKLM\SYSTEM\CurrentControlSet\Services\mfvoinvrv@Description                                           Bietet Startfunktionalit?t f?r DCOM-Dienste.
Reg      HKLM\SYSTEM\CurrentControlSet\Services\mfvoinvrv\Parameters                                            
Reg      HKLM\SYSTEM\CurrentControlSet\Services\mfvoinvrv\Parameters@ServiceDll                                 C:\Windows\system32\liorlu.dll
Reg      HKLM\SYSTEM\CurrentControlSet\Services\nlljhlaa@DisplayName                                            Security Driver
Reg      HKLM\SYSTEM\CurrentControlSet\Services\nlljhlaa@Type                                                   32
Reg      HKLM\SYSTEM\CurrentControlSet\Services\nlljhlaa@Start                                                  2
Reg      HKLM\SYSTEM\CurrentControlSet\Services\nlljhlaa@ErrorControl                                           0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\nlljhlaa@ImagePath                                              %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\CurrentControlSet\Services\nlljhlaa@ObjectName                                             LocalSystem
Reg      HKLM\SYSTEM\CurrentControlSet\Services\nlljhlaa@Description                                            Dient der Endpunktzuordnung und als COM-Dienststeuerungsverwaltung. Wenn dieser Dienst beendet oder deaktiviert wird, werden Programme, die COM- oder RPC-Dienste verwenden, nicht mehr richtig funktionieren.
Reg      HKLM\SYSTEM\CurrentControlSet\Services\nlljhlaa\Parameters                                             
Reg      HKLM\SYSTEM\CurrentControlSet\Services\nlljhlaa\Parameters@ServiceDll                                  C:\Windows\system32\liorlu.dll
Reg      HKLM\SYSTEM\CurrentControlSet\Services\pexut@DisplayName                                               Microsoft Server
Reg      HKLM\SYSTEM\CurrentControlSet\Services\pexut@Type                                                      32
Reg      HKLM\SYSTEM\CurrentControlSet\Services\pexut@Start                                                     2
Reg      HKLM\SYSTEM\CurrentControlSet\Services\pexut@ErrorControl                                              0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\pexut@ImagePath                                                 %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\CurrentControlSet\Services\pexut@ObjectName                                                LocalSystem
Reg      HKLM\SYSTEM\CurrentControlSet\Services\pexut@Description                                               Von dem Dienst werden Einstellungen angewendet, die von Administratoren mithilfe der Gruppenrichtlinienkomponente f?r den Computer und Benutzer konfiguriert wurden. Wenn der Dienst beendet oder deaktiviert wurde, werden die Einstellungen nicht angewendet, und Anwendungen sowie Komponenten k?nnen nicht ?ber Gruppenrichtlinien verwaltet werden. Alle Komponenten oder Anwendungen, die von der Gruppenrichtlinienkomponente abh?ngen, funktionieren m?glicherweise nicht mehr, falls der Dienst beendet oder deaktiviert wird.
Reg      HKLM\SYSTEM\CurrentControlSet\Services\pexut\Parameters                                                
Reg      HKLM\SYSTEM\CurrentControlSet\Services\pexut\Parameters@ServiceDll                                     C:\Windows\system32\liorlu.dll
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rvgcsg@DisplayName                                              Support Time
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rvgcsg@Type                                                     32
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rvgcsg@Start                                                    2
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rvgcsg@ErrorControl                                             0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rvgcsg@ImagePath                                                %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rvgcsg@ObjectName                                               LocalSystem
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rvgcsg@Description                                              Der Offlinedateiendienst f?hrt Wartungsaktivit?ten am Offlinedateiendienst aus, reagiert auf Benutzeranmelde- und -abmeldeereignisse, implementiert die internen Komponenten der ?ffentlichen API, leitet interessante Ereignisse an Empf?nger weiter, die an Offlineaktivit?ten interessiert sind, und ?ndert den Cachestatus.
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rvgcsg\Parameters                                               
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rvgcsg\Parameters@ServiceDll                                    C:\Windows\system32\liorlu.dll
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                     771343423
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                     285507792
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                     1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                       
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                    C:\Program Files (x86)\DAEMON Tools Lite\
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                    0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                 0x2C 0x18 0x0F 0xE5 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001              
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0           0x20 0x01 0x00 0x00 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh        0x46 0x1B 0x7D 0xB9 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40        
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh  0xB8 0xCA 0x96 0x75 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\aclsxkuni@DisplayName                                               Shell Helper
Reg      HKLM\SYSTEM\ControlSet002\Services\aclsxkuni@Type                                                      32
Reg      HKLM\SYSTEM\ControlSet002\Services\aclsxkuni@Start                                                     2
Reg      HKLM\SYSTEM\ControlSet002\Services\aclsxkuni@ErrorControl                                              0
Reg      HKLM\SYSTEM\ControlSet002\Services\aclsxkuni@ImagePath                                                 %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\ControlSet002\Services\aclsxkuni@ObjectName                                                LocalSystem
Reg      HKLM\SYSTEM\ControlSet002\Services\aclsxkuni@Description                                               Registriert und aktualisiert IP-Adressen und DNS-Eintr?ge f?r diesen Computer. Dieser Computer kann keine dynamischen IP-Adressen und DNS-Aktualisierungen empfangen, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg      HKLM\SYSTEM\ControlSet002\Services\aclsxkuni\Parameters                                                
Reg      HKLM\SYSTEM\ControlSet002\Services\aclsxkuni\Parameters@ServiceDll                                     C:\Windows\system32\liorlu.dll
Reg      HKLM\SYSTEM\ControlSet002\Services\pexut@DisplayName                                                   Microsoft Server
Reg      HKLM\SYSTEM\ControlSet002\Services\pexut@Type                                                          32
Reg      HKLM\SYSTEM\ControlSet002\Services\pexut@Start                                                         2
Reg      HKLM\SYSTEM\ControlSet002\Services\pexut@ErrorControl                                                  0
Reg      HKLM\SYSTEM\ControlSet002\Services\pexut@ImagePath                                                     %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\ControlSet002\Services\pexut@ObjectName                                                    LocalSystem
Reg      HKLM\SYSTEM\ControlSet002\Services\pexut@Description                                                   Von dem Dienst werden Einstellungen angewendet, die von Administratoren mithilfe der Gruppenrichtlinienkomponente f?r den Computer und Benutzer konfiguriert wurden. Wenn der Dienst beendet oder deaktiviert wurde, werden die Einstellungen nicht angewendet, und Anwendungen sowie Komponenten k?nnen nicht ?ber Gruppenrichtlinien verwaltet werden. Alle Komponenten oder Anwendungen, die von der Gruppenrichtlinienkomponente abh?ngen, funktionieren m?glicherweise nicht mehr, falls der Dienst beendet oder deaktiviert wird.
Reg      HKLM\SYSTEM\ControlSet002\Services\pexut\Parameters                                                    
Reg      HKLM\SYSTEM\ControlSet002\Services\pexut\Parameters@ServiceDll                                         C:\Windows\system32\liorlu.dll
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                           
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                        C:\Program Files (x86)\DAEMON Tools Lite\
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                        0
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                     0x2C 0x18 0x0F 0xE5 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                  
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0               0x20 0x01 0x00 0x00 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh            0x46 0x1B 0x7D 0xB9 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40            
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh      0xB8 0xCA 0x96 0x75 ...

---- EOF - GMER 1.0.14 ----

Ich weiß nicht obs wichtig ist oder nicht, aber beim Start der Tralala.exe, bevor das Fenster aufgeht und der Scan startet gibts bei mir folgende Fehlermeldung

Code:

System\CurrentControlSet\Services\gmer: Das Handle ist ungültig.

und alle Checkboxen bis auf "Services", "Registry" und "Files" auf der rechten Seite des Fensters sind ausgegraut.

Über ComboFix habe ich mich noch nicht getraut, wegen all den Warnungen hier in den Threads.

Mich würde echt interessieren wie dieser neue (?) Virus heißt und wie ich ihn mir eingefangen haben könnte... Der plagt ja scheinbar viele hier.
Im voraus schonmal vielen Dank für jegliche Hilfe die ihr mir geben könnt, ich selbst hatte mit Viren oder gar Rootkits bisher sehr wenig Erfahrung.

lg

IchGoogleAlles · 21.03.2009, 17:23

Moin,

Zitat:

aber ich wusste nicht ob es nicht unhöflicher ist, mich im Thread eines anderen Users mit meinem Problem einzuklinken

Unhöflich nicht unbedingt, aber es kann verwirrend werden.

Zitat:

Auch eine autorun.inf war auf dem Stick vorhanden,

Lösche die autorun.inf und leere den Papierkorb.

Zitat:

System\CurrentControlSet\Services\gmer: Das Handle ist ungültig.

Du hast noch Glück gehabt. Normalerweise läuft Gmer auf Vista 64bit überhaupt nicht.

Zitat:

Mich würde echt interessieren wie dieser neue (?) Virus heißt

Mich auch, ich tippe auf eine Conficker-Variante.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\Windows\system32\liorlu.dll

Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren. Markiere den Text hier in der Box, kopiere ihn und füge ihn bei Virustotal ein. Sollte sich die Datei nicht hochladen lassen, dann kopiere sie und lade die Kopie hoch. Sollte das auch nicht funktionieren, dann verwende eine Live-CD, wie KNOPPIX Linux Live CD

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Drivers to delete:
aclsxkuni
cuyjdfrfc 
huycelk
mfvoinvrv
nlljhlaa
pexut 
rvgcsg

Registry Keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\aclsxkuni
HKLM\SYSTEM\CurrentControlSet\Services\cuyjdfrfc
HKLM\SYSTEM\CurrentControlSet\Services\huycelk
HKLM\SYSTEM\CurrentControlSet\Services\mfvoinvrv
HKLM\SYSTEM\CurrentControlSet\Services\nlljhlaa
HKLM\SYSTEM\CurrentControlSet\Services\pexut
HKLM\SYSTEM\CurrentControlSet\Services\rvgcsg
HKLM\SYSTEM\ControlSet002\Services\aclsxkuni
HKLM\SYSTEM\ControlSet002\Services\pexut

Files to delete:
C:\Windows\system32\liorlu.dll

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag.

Nachdem du das durchgeführt hast, wird es deinem Rechner spürbar besser gehen. Mache nicht den Fehler hier abzubrechen. Du bist noch nicht geheilt!

Erstelle auch gleich noch ein neues Gmer-Log um sicher zu gehen, dass ich nichts übersehen habe.

ciao, andreas

lolawl · 21.03.2009, 18:09

Zitat:

Zitat von IchGoogleAlles

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\Windows\system32\liorlu.dll

Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren. Markiere den Text hier in der Box, kopiere ihn und füge ihn bei Virustotal ein. Sollte sich die Datei nicht hochladen lassen, dann kopiere sie und lade die Kopie hoch. Sollte das auch nicht funktionieren, dann verwende eine Live-CD, wie KNOPPIX Linux Live CD

Hi Andreas,

vielen Dank erstmal für die blitzschnelle Antwort! Schneller als die Feuerwehr

Zu dieser mysteriösen dll - wie du gesagt hast lässt sich die Datei nicht öffnen. Trotz des Admin-Kontos auf dem ich jetzt gerade arbeite habe ich keine Rechte. Habe auf einer anderen Partition ein altes XP, auch mit dem geht es nicht (er meint er findet die Datei gar nicht erst). Wird es dann mit dieser Linux-CD funktionieren?

lg

// EDIT: btw, die XP-Partition ist nicht kompromittiert, habe gerade nochmal die Scanner laufen lassen.

IchGoogleAlles · 21.03.2009, 18:18

Zitat:

Habe auf einer anderen Partition ein altes XP, auch mit dem geht es nicht (er meint er findet die Datei gar nicht erst).

Es sind zwei Möglichkeiten denkbar:

Er mutiert (ändert den Dateinamen mit jedem Neustart)
Die Datei ist versteckt. Da müsste es allerdings mir Angabe des Pfades bei VT funktionieren.

Zitat:

Wird es dann mit dieser Linux-CD funktionieren?

Eigentlich ja, aber siehe oben. Spielt auch keine Rolle, die Datei muss weg. Vermutlich wird Avenger auf Vista 64bit nicht laufen. Dann ist Handarbeit angesagt. Ich warte auf Rückmeldung.

Versuche es zuerst mit http://www.malwarebytes.org/mbam.php.

ciao, andreas

lolawl · 21.03.2009, 19:29

Danke dass du so lange gewartet hast, sorry der Malware-Scan dauerte...
Ich habe gute und schlechte Neuigkeiten (für mich...)
Die liorlu.dll habe ich gefunden, sie ist nicht mutiert, sondern war zusätzlich zum Attribut "versteckt" auch noch eine "Geschützte Systemdatei", und deswegen noch immer ausgeblendet.

Ich nehme an es liegt an der Tatsache, dass Vista64 mit diesem Windows-on-Windows64 arbeitet, der Programmen dann einen anderen Pfad vorgaukelt um die Rückwärtskompatibilität zu gewährleisten. Auf jeden Fall war der Pfad folgender:

Code:

C:\Windows\SysWOW64\liorlu.dll und nicht system32\liorlu.dll

Die schlechte Nachricht ist, dass ich keinen Zugriff darauf habe, obwohl ich wie bereits erwähnt gerade auf einem Admin-Konto arbeite (das gleiche auch auf XP ausprobiert). Und der Malware-Scan hat die Datei natürlich auch nicht gefunden (da kein Zugriff mit meinen Rechten).

Meinst du die Sache wäre abgehakt wenn ich einfach mein C-Laufwerk neu formatiere? Schließlich hätte er schon lange Zeit gehabt sich auf den anderen Laufwerken einzunisten, zumal ich zum Test seit meinem ersten Post den Stick immer wieder an- und abstecke, aber es tut sich nichts.

lg

IchGoogleAlles · 21.03.2009, 19:36

Zitat:

Und der Malware-Scan hat die Datei natürlich auch nicht gefunden (da kein Zugriff mit meinen Rechten).

Mausklick rechts => Ausführen als Administrator oder UAC abschalten.

Zitat:

Meinst du die Sache wäre abgehakt wenn ich einfach mein C-Laufwerk neu formatiere?

Das ist immer die schnellste und sicherste Lösung. Du musst nur sicher sein, dass es nirgendwo eine autorun.inf mehr gibt, um dich nicht sofort wieder zu infizieren.

ciao, andreas

lolawl · 21.03.2009, 19:57

Zitat:

Zitat von IchGoogleAlles

Mausklick rechts => Ausführen als Administrator oder UAC abschalten.

Ich arbeite doch schon die ganze Zeit auf einem Administrator-Konto, muss ich dem Programm dann trotzdem noch extra Admin-Rechte geben?
Ich weiß, das Admin-Konto ist nicht die feine englische Art, aber jetzt gerade habe ich mehr Probleme wenn andauernd eine UAC-Abfrage aufploppt als damit dass der Virus (der ja anscheinend so oder so mehr Rechte auf meinem eigenen Rechner hat als ich) tut was er will...

Ich lade gerade die Knoppix-CD, dann werde ich die Variante probieren. Wenn das auch nichts hilft wird mir nichts anderes übrig bleiben als format C:
Eines würde ich allerdings zu gerne wissen: Selbst wenn sich der Virus installiert hat, während ich zufällig auf dem Admin-Konto gearbeitet habe, wie kann er eine Datei erstellen, auf die nicht einmal der Administrator Zugriff hat? Ich nehme an der abgesicherte Modus wird da auch nicht mehr bringen als der Versuch von einer anderen Partition zuzugreifen, oder?

Und eine Frage hätte ich noch: eine autorun.inf funktioniert nur wenn sie direkt im root-Verzeichnis eines Laufwerkes liegt und wird nicht ausgeführt, nur weil ich einen Ordner öffne wo eine drin liegt, oder? Ich hab gerade auf der F-Secure Seite gelesen, dass man sich auch über die ADMIN$-Freigabe wieder infizieren kann, weißt du darüber etwas?

lg

IchGoogleAlles · 21.03.2009, 20:14

Zitat:

Ich arbeite doch schon die ganze Zeit auf einem Administrator-Konto, muss ich dem Programm dann trotzdem noch extra Admin-Rechte geben?

Ja. Das ist nur ein Grund, warum ich Vista wieder gelöscht habe.

Zitat:

Ich lade gerade die Knoppix-CD, dann werde ich die Variante probieren. Wenn das auch nichts hilft wird mir nichts anderes übrig bleiben als format C:

Funktioniert Avenger denn nicht? Es gibt noch eine Alternative mit Gmer. Allerdings muss man alles von Hand machen.

Zitat:

wie kann er eine Datei erstellen, auf die nicht einmal der Administrator Zugriff hat?

Solange der Dienst läuft, sorgt Windows dafür, dass sie nicht gelöscht werden kann. Schlaue Kerlchen, diese Schädlingsprogrammierer. Sie ist auch nicht im Taskmanager zu sehen, weil sie die svchost benutzen, um die Datei auszuführen. Im Taskmanager ist nur eine weitere unschuldig aussehende svchost zu sehen.

Zitat:

Ich nehme an der abgesicherte Modus wird da auch nicht mehr bringen als der Versuch von einer anderen Partition zuzugreifen, oder?

Der abgesicherte Modus bringt gar nichts, da die Datei als Treiber deklariert wird, der auch im abgesicherten Modus gestartet wird.

Allerdings sollte das Löschen von einem anderen Betriebssystem eigentlich möglich sein. Ich habe auch das komplette Vista von XP aus löschen können. Hatte allerdings mehrere Programme wie Killbox, u.ä. im Einsatz.

Zitat:

nd eine Frage hätte ich noch: eine autorun.inf funktioniert nur wenn sie direkt im root-Verzeichnis eines Laufwerkes liegt

Ja.

Zitat:

Ich hab gerade auf der F-Secure Seite gelesen, dass man sich auch über die ADMIN$-Freigabe wieder infizieren kann, weißt du darüber etwas?

Als Admin sollte ich sowas wissen.

ADMIN$-Freigaben sind versteckte Freigaben, die in der Netzwerkumgebung nicht angezeigt werden, aber dennoch da sind. Dämlicherweise gibt Windows von sich aus alle Laufwerke frei, d.h. wenn man weiß, wie es geht (wird nicht verraten), kann man auf jedes Laufwerk im Netzwerk zugreifen. Der einzige Schutz davor sind sichere Kennwörter. Sollte dein Adminkonto z.B. ein Kennwort wie god o.ä. haben, dann kann es geknackt worden sein.

ciao, andreas

lolawl · 21.03.2009, 23:08

Hallo nochmal,

Avenger hat leider nicht funktioniert. Gestartet ist er zwar noch, das Script hat er auch noch angenommen, aber nach dem Neustart ist nichts passiert. Hab auch kein Logfile von ihm, außer einer leeren "backup.reg".
Dafür war die Idee mit der Knoppix-CD Gold wert, vielen Dank dafür!

Hab auf die Datei nachdem ich sie in Knoppix verschoben habe dann auch zugreifen können, wurde also tatsächlich von einem Dienst geschützt (nicht dass ich's dir nicht geglaubt hätte). Ich wundere mich nur, warum's von XP aus nicht ging? Versteckt sich dort auch noch was, das GMER nicht fand?

Hier noch der Bericht von VT über meine DLL:

Code:

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.101	2009.03.21	Net-Worm.Win32.Kido!IK
AhnLab-V3	5.0.0.2	2009.03.21	Win32/Kido.worm.168032
AntiVir	7.9.0.120	2009.03.21	TR/Crypt.XPACK.Gen
Authentium	5.1.2.4	2009.03.21	W32/Conficker!Generic
Avast	4.8.1335.0	2009.03.20	Win32:Confi
AVG	8.5.0.283	2009.03.20	Agent.ASLB
BitDefender	7.2	2009.03.21	Win32.Worm.Downadup.Gen
CAT-QuickHeal	10.00	2009.03.21	Win32.Net-Worm.Kido.ih.4
ClamAV	0.94.1	2009.03.21	Worm.Kido-23
Comodo	1078	2009.03.21	NetWorm.Win32.Kido.ih
DrWeb	4.44.0.09170	2009.03.21	Win32.HLLW.Autoruner.5555
eSafe	7.0.17.0	2009.03.19	Win32.Banker
eTrust-Vet	31.6.6409	2009.03.20	Win32/Conficker
F-Prot	4.4.4.56	2009.03.20	W32/Conficker!Generic
F-Secure	8.0.14470.0	2009.03.21	Worm:W32/Downadup.gen!A
Fortinet	3.117.0.0	2009.03.21	W32/Kido.EG!worm.im
GData	19	2009.03.21	Win32.Worm.Downadup.Gen
Ikarus	T3.1.1.48.0	2009.03.21	Net-Worm.Win32.Kido
K7AntiVirus	7.10.678	2009.03.21	Net-Worm.Win32.Downadup.ih
Kaspersky	7.0.0.125	2009.03.21	Net-Worm.Win32.Kido.ih
McAfee	5560	2009.03.21	W32/Conficker.worm.gen.a
McAfee+Artemis	5560	2009.03.21	W32/Conficker.worm.gen.a
McAfee-GW-Edition	6.7.6	2009.03.20	Trojan.Crypt.XPACK.Gen
Microsoft	1.4502	2009.03.21	Worm:Win32/Conficker.B
NOD32	3953	2009.03.21	Win32/Conficker.AA
Norman	6.00.06	2009.03.20	W32/Conficker.CT
nProtect	2009.1.8.0	2009.03.21	Worm/W32.Kido.168032
Panda	10.0.0.10	2009.03.21	W32/Conficker.C.worm
PCTools	4.4.2.0	2009.03.21	-
Prevx1	V2	2009.03.21	High Risk Worm
Rising	21.21.52.00	2009.03.21	Hack.Exploit.Win32.MS08-067.dp
Sophos	4.39.0	2009.03.21	Mal/Conficker-A
Sunbelt	3.2.1858.2	2009.03.20	Net-Worm.Win32.Kido.eg
Symantec	1.4.4.12	2009.03.21	W32.Downadup.B
TheHacker	6.3.3.1.287	2009.03.21	W32/Conficker.gen
TrendMicro	8.700.0.1004	2009.03.20	WORM_DOWNAD.AD
VBA32	3.12.10.1	2009.03.20	Worm.Win32.kido.104
ViRobot	2009.3.20.1658	2009.03.20	Worm.Win32.Conficker.168032
VirusBuster	4.6.5.0	2009.03.21	Trojan.Conficker.Gen!Pac
weitere Informationen
File size: 168032 bytes
MD5...: 574cf0062911c8c4eca2156187b8207d
SHA1..: f1b6acf3a1b0ff40308cfecb04daf25e72cdbd0b
SHA256: 1023aeeee1dd4ca115fcb8e4882f9d5a1815dcecd2d7f35042110f96957127a0
SHA512: 6a0387e8a756e9c66c553af0d4352245ee765460a0e4b03717b905bf15633bc4
06d42541bd91ef8a3d01735cf40a72d60fb22593a5725cc017faa0acdc718335
ssdeep: 3072:Am2oCQtIWmQPXe8HnY6+vhNu565Z9Ch+RJGag0qho:AmzLt7bPXe8HYTGSG
8MhM
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3fcb
timedatestamp.....: 0x3cc590b4 (Tue Apr 23 16:49:56 2002)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x307a 0x3200 6.29 a0474d84e6474c3d15703324ba5251d9
.rdata 0x5000 0x716 0x800 4.55 ca0b518e1c3cb91d5f7737f6bd0532ce
.data 0x6000 0x108ac 0x10400 7.99 1244afa6aa2a26672fcfa41fe2e7ba10
.reloc 0x17000 0x996 0xa00 6.21 e7cf4c6cde4da0916874baa6d790671a

( 7 imports )
> KERNEL32.dll: GetVersionExA, GetACP, IsDBCSLeadByte, LoadLibraryA, InterlockedDecrement, GetProcAddress, GetStartupInfoA, Sleep, GetLocalTime, VirtualAlloc, VirtualProtect, VirtualQuery, GetTickCount, IsDebuggerPresent, GetLastError, GetComputerNameA, GetCurrentProcess, GetProcessHeap, IsBadStringPtrA, IsBadCodePtr, IsBadWritePtr, IsBadReadPtr, MulDiv
> USER32.dll: GetMenuContextHelpId, GetWindowTextLengthA, IsCharUpperA, IsCharAlphaNumericA, IsCharAlphaA, IsClipboardFormatAvailable, GetDC, GetIconInfo, GetWindowThreadProcessId, GetTopWindow, IsWindowVisible, IsChild, GetWindowPlacement, GetCursor
> ADVAPI32.dll: GetUserNameA, IsValidAcl
> MSVCRT.dll: _adjust_fdiv, free, malloc, _memccpy, _ultoa, time, frexp, ceil, ldexp, modf, _hypot, _CIasin, _CIsinh, _itoa, srand, _initterm
> GDI32.dll: GdiFlush, GetBitmapDimensionEx, GetPixel, GetBkColor, GdiGetBatchLimit, GetBkMode
> ole32.dll: CoGetCurrentProcess, CoFileTimeNow, CoRevertToSelf
> SHELL32.dll: -, -

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=574cf0062911c8c4eca2156187b8207d' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=574cf0062911c8c4eca2156187b8207d</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=7AD7465E6057905C909F024927E31100F53832E0' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=7AD7465E6057905C909F024927E31100F53832E0</a>

Ich frage mich nur ehrlich gesagt wie man sich vor diesem Unding schützen kann, wenn nicht mit einer Firewall? Ich habe zwar gelesen dass Conficker/Downadup generell sehr gefinkelt ist beim Einbruch in ein neues System und viele Lücken kennt, aber wenn ich in meiner FW einstelle "Block all" und er kommt trotzdem rein, ist meiner Meinung nach was faul.

OK, ich hab jetzt die DLL entschärft hier am Desktop liegen, muss ich noch etwas tun? Wie bekomme ich die Dienste weg?

Und ein riesiges Dankeschön nochmal für die prompte und kompetente Hilfestellung!

lg

IchGoogleAlles · 21.03.2009, 23:39

So sehr mich auch der Kampf gegen Conficker reizt, empfehle ich dir doch die schnelle und sichere Methode zu wählen: Neuinstallation.

Eigentlich ist der recht einfach zu killen, nur sämtliche Tools, die wir normalerweise einsetzen, geben den Geist bei Vista 64bit auf. Da aber zumindest Gmer läuft, haben wir eine Chance. Es gibt mittlerweile auch mehrere Tools für die Bereinigung von Conficker, aber ob die auf Vista 64bit laufen, wage ich zu bezweifeln.

Falls du allerdings Versuchskaninchen spielen möchtest, dann starte erstmal MalwareBytes Antimalware.

Zitat:

Ich frage mich nur ehrlich gesagt wie man sich vor diesem Unding schützen kann, wenn nicht mit einer Firewall?

Ganz simpel. Das Update, das vor Conficker schützt ist mittlerweile 5 Monate alt. Nur leider befolgen zu viele Menschen nicht die uralten Grundregeln, s. Der beste kostenlose Virenschutz, Abschnitt "Wie schützt man sich denn dann am besten vor Viren und Würmern?", 1. Punkt:

Zitat:

Man klickt nicht auf alles, was nicht bei 3 auf den Bäumen ist und hält seine Software auf dem neuesten Sicherheitsstand.

Oder wie Malte Wetz schreibt (Homepage von Malte J. Wetz):

Zitat:

Benutzte Software regelmäßig warten!

Nein, das ist ja unbequem, lieber Geld für ein Hochglanzprodukt ausgeben, das einem Sicherheit verspricht. Nur das hilft leider nicht. Du kannst dir weitere 20 Programme installieren, die dir Sicherheit versprechen, aber nützen tun sie nichts. Glaub mir.

ciao, andreas

-----Doppelpost zusammengeführt am 21.3.2009 um 22:56:59-----

Hier sind drei Programme zu finden, teste bitte, ob die auf Vista 64bit laufen.
http://www.netzwelt.de/news/79610-co...ernen-den.html

lolawl · 22.03.2009, 01:43

Ok, alle 3 Programme haben die DLL gefunden und entfernt, die Registry-Einträge (also die Einträge im GMER) hat aber keiner von den Dreien gelöscht (trotz des ausdrücklichen Hinweises im Programm von Symantec, dass auch etliche Registry-Einträge gelöscht wurden). Ganz weg ist er also immer noch nicht, die Dienste blieben.
Wobei ich aber dazu sagen muss, dass die DLL nachdem ich sie mit KNOPPIX "behandelt" habe, nie wieder dieselben Attribute zu haben schien wie vorher. Sprich: egal wie oft ich den Virus wieder vom Stick auf den Rechner geholt habe, die DLL habe ich ganz einfach selbst per Hand löschen können. (Was ja noch gestern Nachmittag nicht möglich war). Scheinbar sind auch Viren nicht bugfrei

Letzten Endes bleibt wohl doch nur Formatieren als Alternative...

Und, btw.: Ich wüsste nicht auf welche Datei ich unachtsamerweise geklickt haben könnte, die mir dieses Mistvieh beschert hat, aber da geht's wohl den meisten so... ^^

IchGoogleAlles · 22.03.2009, 02:04

Zitat:

Ok, alle 3 Programme haben die DLL gefunden und entfernt,

Falls es irgendwelche Logs gibt, dann bitte alle posten. Du bist mein erster Confickerfall mit Vista 64bit. Ich brauche jede Info, die ich kriegen kann, um sie an die anderen weiterzugeben.

Zitat:

Ganz weg ist er also immer noch nicht, die Dienste blieben.

Die Dienste sind nur Registryeinträge, die ohne korrespondierende Datei nichts bewirken. Sie lassen sich mit Gmer löschen.

1.) Starte Gmer und klick auf Scan
2.) Klick auf die Karte > > >
3.) Klick auf Karte Services
4.) Suche die roten (Namen der Dienste im Avengerlog)
5.) Mausklick rechts => Delete

ciao, andreas

lolawl · 22.03.2009, 12:33

Oh, natürlich... Logfiles habe ich bekommen von Symantec:

Code:

Symantec W32.Downadup Removal Tool 1.1.0.1


ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\90ms-RKSJ-UCS2; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\90pv-RKSJ-UCS2C; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\Adobe-GB1-GBK-EUC; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\Adobe-GB1-H-Host; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\Adobe-Korea1-UCS2; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\GBK-EUC-H; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\GBK2K-H; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\GBKp-EUC-H; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\GBpc-EUC-UCS2C; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\GBT-EUC-H; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\KSCms-UHC-UCS2; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\KSCpc-EUC-UCS2C; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\UCS2-90ms-RKSJ; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\UCS2-90pv-RKSJ; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\UCS2-GBpc-EUC; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\UCS2-KSCms-UHC; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\UCS2-KSCpc-EUC; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\UniGB-UTF16-H; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\UniJIS-UCS2-H; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\UniJIS-UTF16-H; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\UniJIS2004-UTF16-H; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\UniKS-UCS2-H; file not scanned

ERROR: Can't change ACL/permissions for file C:\Program Files (x86)\Adobe\Acrobat 9.0\Resource\CMap\UniKS-UTF16-H; file not scanned
C:\Users\Paco1\Desktop\autorun.txt: W32.Downadup!autorun (unrepairable) (deleted) 

C:\Users\Paco1\Desktop\liorlu.dll_: W32.Downadup.B (unrepairable) (deleted) 

C:\Windows\System32\liorlu.dll: W32.Downadup.B (unrepairable) (deleted) 


registry: HKLM\system\CurrentControlSet\Services\BITS: Start (value set to 0x00000003 (3))
registry: HKLM\system\CurrentControlSet\Services\WerSvc: Start (value set to 0x00000002 (2))
registry: HKLM\system\CurrentControlSet\Services\WinDefend: Start (value set to 0x00000002 (2))
registry: HKLM\system\CurrentControlSet\Services\wscsvc: Start (value set to 0x00000002 (2))
registry: HKLM\system\CurrentControlSet\Services\wuauserv: Start (value set to 0x00000002 (2))
registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}\AutoStart (value set to "")

W32.Downadup has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 317646
The number of deleted threat files: 3
The number of threat processes terminated: 0
The number of threat threads terminated: 0
The number of registry entries fixed: 6

F-Secure:

Code:

F-Secure Malware Removal Tool, version 8.00.15030
Copyright (c) 2005-2009, F-Secure Corporation. All rights reserved.
Please see accompanied readme.txt for usage and copyright information
F-Secure Anti-Virus product installation: (none)

Start scanning
        C:\ is clean
        C:\PROGRAM FILES (X86)\ADOBE is clean
        C:\PROGRAM FILES (X86)\ADOBE\ACROBAT 9.0\ACROBAT is clean
        C:\PROGRAM FILES (X86)\ADOBE\ACROBAT 9.0\PDFMAKER\AUTOCAD\2007 is clean
        C:\PROGRAM FILES (X86)\ADOBE\ADOBE ILLUSTRATOR CS4 is clean
        C:\PROGRAM FILES (X86)\ANALOG DEVICES\CORE is clean
        C:\PROGRAM FILES (X86)\COMMON FILES\ADOBE\ACROBAT\ACTIVEX is clean
        C:\PROGRAM FILES (X86)\COMMON FILES\COREL\SHARED is clean
        C:\PROGRAM FILES (X86)\COMMON FILES\INSTALLSHIELD\PROFESSIONAL\RUNTIME\10\50\INTEL32 is clean
        C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\MSINFO is clean
        C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\TRANSLAT\FREN is clean
        C:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\MSADC is clean
        C:\PROGRAM FILES (X86)\ELECTRONIC ARTS is clean
        C:\PROGRAM FILES (X86)\INSTALLSHIELD INSTALLATION INFORMATION\{F29B21BD-CAA6-445F-8EF7-A7E2B9D8B14E} is clean
        C:\PROGRAM FILES (X86)\MOZILLA THUNDERBIRD is clean
        C:\PROGRAM FILES (X86)\VIDEOLAN\VLC is clean
        C:\PROGRAM FILES (X86)\WINDOWS PHOTO GALLERY is clean
        C:\PROGRAM FILES\LOGITECH\SETPOINT is clean
        C:\PROGRAM FILES (X86)\RADVIDEO is clean
        C:\WINDOWS is clean
        C:\WINDOWS\REPLAY MEDIA CATCHER is clean
        C:\WINDOWS\SYSTEM32\COM is clean
        C:\WINDOWS\SYSTEM32\MIGRATION is clean
        C:\WINDOWS\SYSWOW64 is clean
        C:\WINDOWS\SYSWOW64 is clean
        C:\WINDOWS\SYSWOW64\SETUP is clean
        C:\WINDOWS\SYSWOW64\WBEM is clean
        C:\WINDOWS\SYSWOW64\XPSVIEWER is clean
        C:\WINDOWS\SYSWOW64\XPSVIEWER is clean

Start scanning System
Scanning complete:
Infection 'Worm:W32/Downadup.gen!A' -- not disinfected

(Dies ist der Log von der ersten Suche, ohne Desinfektion! Den Log mit dem Parameter --disinfect habe ich leider nicht, aber er schrieb nicht mehr und nicht weniger als "Infection removed" anstatt von "not disinfected")
Und zu guter Letzt von BitDefender:

Code:

Ok Loading BitDefender Engines
State 0
Sleeping 3 seconds...
Found so far : 0x0 files/regs
Searching for Downadup file .... 
   - System folder 
Detected with : Win32.Worm.Downadup.Gen
Found : C:\Windows\system32\liorlu.dll
   - Temporary folder 
   - Program Files 
   - Application Data 
Found so far : 0x1 files/regs
State 0
Sleeping 3 seconds...
Deleting : C:\Windows\system32\liorlu.dll
Try to delete number 1
Ok deleting file : C:\Windows\system32\liorlu.dll
Internet Temp : C:\Users\Paco1\AppData\Local\Microsoft\Windows\Temporary Internet Files
Internet Temp : C:\Users\Paco1\Local Settings\Temporary Internet Files
Disinfection complete. Please restart the computer

Aber wie gesagt haben die Removal-Tools unter anderen Bedingungen arbeiten können als direkt nach der Infektion, da ich die DLL bereits mit KNOPPIX manipuliert habe.

lg

IchGoogleAlles · 22.03.2009, 15:27

ciao, andreas

lolawl · 23.03.2009, 19:29

Ich danke für die äußerst kompetente Hilfestellung!