Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Vundo.gen und TR/Dldr.Agent.fiv

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.12.2007, 19:21   #1
Timmaayy
 
TR/Vundo.gen und TR/Dldr.Agent.fiv - Standard

TR/Vundo.gen und TR/Dldr.Agent.fiv



Hallo zusammen,

leider hat es auch mich mit den o.g. Trojanern erwischt. Habe jetzt diverse Threads schon durchgelesen und auch die erforderlichen Sachen gemacht (CCleaner, Vundo Fix, HJT) aber irgendwie werd ich die beiden leider nicht los.

Vundo-Fix findet leider nichts, weder der von Atribune noch der Symantec (auch nicht im Abgesicherten Modus).

HJT findet zwar die dazugehörigen .dlls aber kann diese nicht wirklich fixen.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 19:39:29, on 01.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\BitTorrent_DNA\dna.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\TIM\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: InstaFinder_K - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {CDEFFD4C-B15D-4C79-8500-0ED4CF6AC68B} - C:\WINDOWS\system32\khfefed.dll
O2 - BHO: (no name) - {FB5C1849-8B69-4DD2-9F90-FE12CFF74F1A} - C:\WINDOWS\system32\ssqpo.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\BitTorrent_DNA\dna.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {ABD92D7C-0D95-4A64-A1B1-B84FBC8DEF37} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {ABD92D7C-0D95-4A64-A1B1-B84FBC8DEF37} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: khfefed - C:\WINDOWS\SYSTEM32\khfefed.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
Ich hab versucht die

Zitat:

O2 - BHO: (no name) - {CDEFFD4C-B15D-4C79-8500-0ED4CF6AC68B} - C:\WINDOWS\system32\khfefed.dll
O2 - BHO: (no name) - {FB5C1849-8B69-4DD2-9F90-FE12CFF74F1A} - C:\WINDOWS\system32\ssqpo.dll
per HJT zu fixen aber es passiert leider absolut gar nichts.

Lt. anderen Usern sollt man irgendwelche Scriptabschnitte per Avenger checken, aber was genau weiss ich leider auch nicht.
Kann mir evtl. jemand helfen ?!

Vielen Dank im Voraus

Tim

Alt 01.12.2007, 19:40   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Vundo.gen und TR/Dldr.Agent.fiv - Standard

TR/Vundo.gen und TR/Dldr.Agent.fiv



Hallo.

1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\khfefed.dll
C:\WINDOWS\system32\ssqpo.dll

folders to delete:
C:\Programme\INSTAFINK\
         
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Geh danach mal in den abgesicherten Modus von Windows. Starte HijackThis und fixe diese Einträge:

Code:
ATTFilter
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
O2 - BHO: InstaFinder_K - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O2 - BHO: (no name) - {CDEFFD4C-B15D-4C79-8500-0ED4CF6AC68B} - C:\WINDOWS\system32\khfefed.dll
O2 - BHO: (no name) - {FB5C1849-8B69-4DD2-9F90-FE12CFF74F1A} - C:\WINDOWS\system32\ssqpo.dll
O20 - Winlogon Notify: khfefed - C:\WINDOWS\SYSTEM32\khfefed.dll
         
Starte den Rechner wieder neu (normaler Modus) und erstelle und poste ein neues Logfile.
Führ mal für weitere Analysen folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
- combofix
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Alt 01.12.2007, 20:58   #3
Timmaayy
 
TR/Vundo.gen und TR/Dldr.Agent.fiv - Standard

TR/Vundo.gen und TR/Dldr.Agent.fiv



Hallo,

bis jetzt hat alles wunderbar funktionert. Avenger hat die betreffenden Zeilen erfolgreich gelöscht und mit HJT konnte ich dann auch den rest entfernen. Logs sind gespeichert. Allerdings habe ich nun ein schwerwiegendes Problem. Ich habe das Script listing7.cmd ausgeführt und es kam zu einem Systemcrash. Nun zeigt mir der Schirm beim hochfahren an, dass eine Windows Root .dll gelöscht wurde und Windows nicht gestartet werden kann...

Ich versuch das jetzt mal wieder in den Griff zu bekommen.

Danke trotzdem für die Hilfe mit den Trojanern, so wie es auf den ersten Blick aussah, hat alles ohne Probleme funktioniert.

Gruss Tim
__________________

Alt 01.12.2007, 21:20   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Vundo.gen und TR/Dldr.Agent.fiv - Standard

TR/Vundo.gen und TR/Dldr.Agent.fiv



Zitat:
Ich habe das Script listing7.cmd ausgeführt und es kam zu einem Systemcrash. Nun zeigt mir der Schirm beim hochfahren an, dass eine Windows Root .dll gelöscht wurde und Windows nicht gestartet werden kann...
Hm...
Das tut mir leid, aber bisher sind solche Probleme mit der listing7.cmd noch nicht aufgetreten, denn das script löscht keine Windows-Systemdateien.

Welche Datei genau fehlt ihm?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.12.2007, 21:25   #5
Timmaayy
 
TR/Vundo.gen und TR/Dldr.Agent.fiv - Standard

TR/Vundo.gen und TR/Dldr.Agent.fiv



Hmmm merkwürdig. Die Console hat sich geöffnet und ist dann runtergerattert mit irgendwelchen Dateien und hintendran stand nur...wird entfernt. Und so sind die Befehle dann bis zum Crash runtergelaufen.

Nach einem Neustart fährt sich XP nicht mal mehr hoch, ich hänge daran, dass eine Windows Root\System32\xxx.dll fehlt. Genaue Bezeichnung weiss ich leider nicht mehr.

Naja, denke mal es wird kein Problem sein, sowas wieder in Gang zu bekommen. Hauptsache die Viren sind weg

Vielen Dank nochmal für deine Hilfe.

edit: hab grad nochmal geschaut: hal.dll ist die Sache, die fehlt.


Alt 01.12.2007, 21:47   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Vundo.gen und TR/Dldr.Agent.fiv - Standard

TR/Vundo.gen und TR/Dldr.Agent.fiv



Also das Script löscht nur unnötige Dateien, aber keine in system32, das wäre zu brisant. Nur im ersten Abschnitt des scripts werden Löschbefehle angwandt:

Code:
ATTFilter
REM ------ Tempfiles im Windows-Ordner ------
%systemdrive%
cd\
cd %windir%
rd temp /s /q
md temp
REM ------ Prefetch -------------------------
cd prefetch
del *.* /s /f /q
REM ------ Usertemps ------------------------
cd %temp%
cd..
rd temp /s /q
md temp
REM ------ temp. Internetdateien (user)------
cd..
rd "temporary internet files" /s /q
md "temporary internet files"
REM ------ cookies löschen ---
cd %userprofile%
rd cookies /s /q
md cookies
         
Es löscht also den Inhalt dieser Ordner:

c:\windows\temp
c:\windows\prefetch
%temp% (also c:\dokumente und einstellungen\<USER>\lokale einstellungen\temp
Ordner für die Temporäre Internetdateien des IE
IE-Cookies-Ordner

Warum der die hal.dll bei dir nicht findet, weiß ich nicht aber vllt. hilft ja ein chkdsk bei dir in der Wiederherstellungskonsole.
__________________
--> TR/Vundo.gen und TR/Dldr.Agent.fiv

Alt 01.12.2007, 21:58   #7
Timmaayy
 
TR/Vundo.gen und TR/Dldr.Agent.fiv - Standard

TR/Vundo.gen und TR/Dldr.Agent.fiv



Also der Auszug aus dem Script klingt logisch.

Allerdings steh ich jetzt vor dem Problem, dass ich nicht in die Wiederherstellungskonsole reinkomme. Reparieren von der XP-CD scheint irgendwie auch nicht zu funktionieren. Alles sehr sehr merkwürdig heute.

Ich schau mal was sich machen lässt mit meinem Kasten und sag dann nochmal bescheid.

Antwort

Themen zu TR/Vundo.gen und TR/Dldr.Agent.fiv
abgesicherten modus, add-on, adobe, antivir, avira, bho, desktop, einstellungen, excel, explorer, firefox, helfen, hijack, hijackthis, internet, internet explorer, mozilla, mozilla firefox, nvidia, object, rundll, software, solution, symantec, system, toolbars, tr/vundo.gen, trojaner, vundo, windows, windows xp




Ähnliche Themen: TR/Vundo.gen und TR/Dldr.Agent.fiv


  1. TR/Dldr.MSIL.Agent.ON - TR/Agent.204800.BH - noch mehr?
    Plagegeister aller Art und deren Bekämpfung - 09.07.2010 (29)
  2. Antivir meldet Trojaner TR/Dldr.Agent.cyrd / TR/Dldr.Exchanger.ayn
    Plagegeister aller Art und deren Bekämpfung - 20.06.2010 (4)
  3. BDS/Bredolab/ena, Tr/Dldr.java.Agent.Bh.3,Tr/Dldr.Fakea.jhd.2
    Log-Analyse und Auswertung - 31.05.2010 (2)
  4. BDS/Agent.rfw ; BDS/Agent.rfv ; TR/Agent.wyn ; TR/Dldr.FraudLoad.vbxt
    Log-Analyse und Auswertung - 13.10.2009 (1)
  5. Was (noch) tun: TR/Dldr.Agent, TR/Spy.Agent, TR/Dldr.Injecter und Trojan.Packed.191
    Plagegeister aller Art und deren Bekämpfung - 27.01.2009 (5)
  6. Trojaner Vundo + TR/Dldr.Agen.ZV.1.B
    Mülltonne - 08.09.2008 (0)
  7. hilfe TR/Dldr.Agent.gzp , DR/Dldr.Agent.fwr.1 kriege sie nicht runter
    Plagegeister aller Art und deren Bekämpfung - 13.03.2008 (1)
  8. Probleme mit Tr/Vundo.Gen und Tr/Dldr.ConHook.Gen
    Mülltonne - 13.11.2007 (0)
  9. TR/Dldr.ConHook.Gen und TR/Vundo.Gen
    Mülltonne - 15.10.2007 (2)
  10. 3 trojaner TR/Yatagan.Dll. TR/Dldr.dll.Ya.2. TR/Dldr.Agent.dag
    Plagegeister aller Art und deren Bekämpfung - 22.09.2007 (9)
  11. TR/Dldr.HArnig.AM.1 und TR/Dldr.Agent.AP
    Plagegeister aller Art und deren Bekämpfung - 07.03.2007 (4)
  12. TR/Agent.AY, TR/Dldr.Delmed.B, TR/Dldr.Stubby.C
    Log-Analyse und Auswertung - 15.09.2006 (1)
  13. Lästige Trojaner TR/Dldr.Agent.gs TR/Dldr.Agent.gs
    Log-Analyse und Auswertung - 06.01.2005 (5)
  14. SOS Habe TR/Dldr.small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 13.10.2004 (3)
  15. HILFE, dldr.agent.cb und dldr.small.or
    Log-Analyse und Auswertung - 11.10.2004 (4)
  16. TR/Dldr.Small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 27.09.2004 (7)
  17. Hilfe!! TR/Dldr.Small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 09.09.2004 (6)

Zum Thema TR/Vundo.gen und TR/Dldr.Agent.fiv - Hallo zusammen, leider hat es auch mich mit den o.g. Trojanern erwischt. Habe jetzt diverse Threads schon durchgelesen und auch die erforderlichen Sachen gemacht (CCleaner, Vundo Fix, HJT) aber irgendwie - TR/Vundo.gen und TR/Dldr.Agent.fiv...
Archiv
Du betrachtest: TR/Vundo.gen und TR/Dldr.Agent.fiv auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.