TrojanDownloader: Win32/Renos.IO

  • geschlossen

  • eizy
  • 1939 Aufrufe 11 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • TrojanDownloader: Win32/Renos.IO

    hey leute..

    windows defender meldet seit gestern früh bei mir dauernt diese warnmeldung..
    PictureUpload (Hosted By PictureUpload.de)
    egal was ich auch mache.. ich werd denn trojaner nicht los!!

    bisher versucht:
    .) windows defender laufen lassen.. (er meint das er die datei gelöscht hat.. bekomm die meldung aber andauernt)
    .) kis 2009 laufen lassen (findet nichts)

    hab vista ultimate x64 sp2 mit allen aktuellen updates..

    hätt hier auch noch das logfile von hijackthis:

    Quellcode

    1. Logfile of Trend Micro HijackThis v2.0.2
    2. Scan saved at 05:42:54, on 11.06.2009
    3. Platform: Windows Vista SP2 (WinNT 6.00.1906)
    4. MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    5. Boot mode: Normal
    6. Running processes:
    7. C:\Program Files (x86)\ASUS\SmartLogon\sensorsrv.exe
    8. C:\Program Files (x86)\Windows Sidebar\sidebar.exe
    9. C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
    10. C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
    11. C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
    12. C:\Program Files (x86)\Windows Sidebar\sidebar.exe
    13. C:\Program Files (x86)\TuneUp Utilities 2009\DriveDefrag.exe
    14. C:\Program Files (x86)\Mozilla Firefox\firefox.exe
    15. C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe
    16. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    17. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
    18. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    19. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    20. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    21. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    22. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    23. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    24. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
    25. R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    26. F2 - REG:system.ini: UserInit=userinit.exe
    27. O1 - Hosts: ::1 localhost
    28. O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    29. O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
    30. O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
    31. O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    32. O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
    33. O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~2\FlashFXP\IEFlash.dll
    34. O4 - HKLM\..\Run: [HControlUser] C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe
    35. O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
    36. O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
    37. O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
    38. O4 - HKCU\..\Run: [Windows-Sidebar] C:\Program Files (x86)\Windows Sidebar\sidebar.exe
    39. O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
    40. O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
    41. O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
    42. O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
    43. O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~4\Office12\EXCEL.EXE/3000
    44. O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
    45. O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll
    46. O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll
    47. O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~4\Office12\REFIEBAR.DLL
    48. O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
    49. O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
    50. O13 - Gopher Prefix:
    51. O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
    52. O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~2\KASPER~1\KASPER~1\adialhk.dll
    53. O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files (x86)\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe (file missing)
    54. O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
    55. O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
    56. O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    57. O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files (x86)\ASUS\ATK Hotkey\ASLDRSrv.exe
    58. O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
    59. O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
    60. O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
    61. O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
    62. O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
    63. O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
    64. O23 - Service: Google Update Service (gupdate1c9d9a2c8818521) (gupdate1c9d9a2c8818521) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
    65. O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    66. O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe
    67. O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    68. O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
    69. O23 - Service: NBService - Nero AG - C:\Program Files (x86)\Nero\Nero 7\Nero BackItUp\NBService.exe
    70. O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing)
    71. O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    72. O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe
    73. O23 - Service: NMSAccessU - Unknown owner - C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
    74. O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
    75. O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
    76. O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    77. O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
    78. O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    79. O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP3\RpcAgentSrv.exe
    80. O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
    81. O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
    82. O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
    83. O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
    84. O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing)
    85. O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - Unknown owner - C:\Windows\System32\TUProgSt.exe (file missing)
    86. O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
    87. O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
    88. O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
    89. O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
    90. O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
    91. O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
    92. --
    93. End of file - 9850 bytes
    Alles anzeigen



    kann mir pls wär helfen??

    mfg eizy

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von eizy ()

  • Also es scheint alles sauber zu sein. Dein Logfile ist soweit sauber.
    Eigentlich kannst du dich bei einem korrekt arbeitenden Kaspersky 2009 drauf verlassen, wenn es nichts mehr findet. Sonst mach nochmal ne intensive Suche im abgesicherten Modus..
    LG
    hanebu32
    [SIZE="1"][COLOR="Purple"]Luat eeinr Sutdie an eenir eegichlnsn Uätnseirivt ist es eagl, in wechelr Roiegfnlehe die Btbshucean in eeinm Wrot snid. Das eiizng Whgictie ist, dsas der etrse und der ltteze Bbhautcse am riecghitn Pltaz snid. Der Rset knan tatol dienraeuchndr sien, und man knan es imemr ncoh onhe Polbmree lseen. Das lgiet daarn, dsas wir nhcit jeedn Buhebtascn alelin leesn, soerdnn das Wrot als Gzanes.[/color][/SIZE]
  • moin..

    also hab mein lapi gerade eingeschaltet und gleich wieder die meldung bekommen!!

    was ich noch versucht hab:

    .) mit ccleaner das sys gereinigt
    .) mit tune up 2009 das sys gereinigt
    .) cookies gelöscht, temp files gelöscht


    das blöde is ja das dass sys gerade neu aufgesetzt is.. bin letzte woche min installieren und einrichten fertig geworden..
    os neu aufsetzen wär jetzt das schlimmste!!

    ich werd jetzt noch mal kis laufen lassen..
  • eizy schrieb:

    windows defender zeigt mir leider den speicherort nicht an..
    habs mit der suche versucht.. leider nichts gefunden....


    schau mal deshalb ins Ereignisprotokoll. Vielleicht ist erkennbar, um welche Datei es sich handelt und diese dann bei Jotti/Virustotal zum Überprüfen hochladen.

    Protokollierte Ereignisse
    Wenn Windows-Defender eine bestimmte Aktion durchführt, z. B. das Erkennen oder Entfernen von Spyware, oder wenn neue Definitionsaktualisierungen installiert werden, erstellt Windows-Defender ein neues Ereignis im Windows-Ereignisprotokoll. Sie können vorherige Aktionen überprüfen oder überwachen, indem Sie nach Ereignissen suchen, die von Windows-Defender in der Ereignisanzeige erstellt wurden.


    ++++++++++++++++++++++++++++++++++++++++++++++++

    mit dem Tool zum Entfernen bösartiger Software vielleicht noch einmal eine manuelle Durchsuchung/Beseitigung durchführen.

    Eine Übersicht der schädlichen Softwareprogramme, die durch dieses Tool entfernt werden, sowie Anweisungen zur Verwendung dieses Tools finden Sie im Knowledge Base-Artikel KB890830


    in dieser Übersicht ist u.a. auch Win32/Renos vom Mai 2007 (V 1.29) aufgeführt.

    Gruss Totsch
  • totsch schrieb:

    schau mal deshalb ins Ereignisprotokoll. Vielleicht ist erkennbar, um welche Datei es sich handelt und diese dann bei Jotti/Virustotal zum Überprüfen hochladen.



    wuah.. ich kenn mich mit dem ereignisprotokoll grad überhaupt nicht aus :confused:.

    pls help: PictureUpload (Hosted By PictureUpload.de)

    ------------------------------------------

    edit:

    hab grad nochmal kis laufen lassen: nichts gefunden
    jetzt rennt grad panda online virenscanner: is grad bei 17%

    totsch schrieb:



    mit dem Tool zum Entfernen bösartiger Software vielleicht noch einmal eine manuelle Durchsuchung/Beseitigung durchführen.



    in dieser Übersicht ist u.a. auch Win32/Renos vom Mai 2007 (V 1.29) aufgeführt.

    Gruss Totsch


    1. geht das nicht für 64bit
    2. is das nicht ein normales win update??

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Allonewalk ()

  • ok.. bin durch...
    das einzige was von windows defender zu finden war, sind nur die starts und 2x das es vorzeitig abgebrochen wurde..

    ---------------------------

    edit: hat sich erledigt..
    thx an alle die geholfen haben!!!

    mfg eizy

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von eizy ()