O17 - HKLM\System\CCS\Services\Tcpip\..\{01941117-BA36-4062-BAFF-8
6971E7DE346}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{01941117-BA36-4062-BAFF-8
6971E7DE346}: NameServer = 192.168.2.1


sind meineswissens nach Hijacker...

Ich würde sagen, wenn du eh (laut nochdigger) das system neu aufsetzten sollst kannst du auch ruhig probieren die sachen zu fixen.... kaputt geht ja dann wohl eh nichts mehr

Sichere die dir aber Voher deine liebsten Daten.. (außer .exe datein und nur die sachen von denen du wirklich weißt dass es dein Daten sind)

LG hdrfan

aber an Neuinstallation geht kein weg dran vorbei?

Ich probier immer erst alles bevor ich Neuaufsetzen sage ....

dien Vundo.gen hatte meine Mutter auch... Probier es mal mit Vundofix ( www.atribune.org - Home (direkter downloadlink)) danach sollte er weg sein...

Außerdem kann ich als Virensoftware (die kostenlose 30 tage testversion) AVG anti-spyware 7.5 zum nachprüfen empfeheln( http://www.ewido.net/de/download/)....

und Zum schluss Cleanup... ( CleanUp - temporäre Internetdateien löschen - Temporary Internet Files )


LG hdrfan

okay, ich versuchs gleich und meld mich

Hast du den Dateinamen ses Virus?

sonstwie.dll oder sowas?

LG hdrfan


edit: Öhm *räusper*

Ich sollte vlt. erst mal richtig lesen ^^

Hat sich erledigt...... mit dem namen

was sagt r eigentlich hieru:http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-removal.html

Naja... Lieber erst alles anderes Versuchen

msasvc.exe ist dein trojaner.... such ihn mal und lösche ihn.... und dann den Papierkorb leeren

Zitat:

Zitat von Head

Hier mal die komplette Beschreibung:

Trojan.Vundo

Virusbeschreibung für: Trojan.Vundo

Infektions Länge: Variiert

Type: Trojanisches Pferd

Erstes auftreten: 20.11.2004

Auch bekannt als: Vundo [McAfee], Vundo.dldr [McAfee]

Betroffene Systeme: Windows 95, Windows 98, Windows NT, Windows 2000, Windows ME, Windows XP, Windows Server 2003

Betroffene Ports:

Kurzbeschreibung: Trojan.Vundo ist ein Komponent eines Adware Programmes welches Pop-Up Werbung herunterladet und anzeigt. Es kann auch beim Besuch einer Internet Seite aus einer SPAM Mail installiert werden.

Trojan.Vundo führt folgende Operationen durch:

• Änderung der Registry:

o Löscht den Wert:

“*MS Setup“

von dem Registry Key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

o Erzeugt den folgenden Wert:

"*WinLogon" = "[Trojan full path file name] ren time:[random number]"

in den Registry Key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

o Erzeugt den folgenden Registry Key:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Active State

o Erzeugt folgenden Wert:

"*[Trojan file name]" = "[Trojan full path file name] rerun"

in den Registry Key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

o Erzeugt folgenden Wert:

"[Default value]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"

in den Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID

o Erzeugt die folgenden Registry Keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}

• Erzeugt eine EXE Datei dessen Name sich aus den folgenden Zeichenketten auseinandersetzen:

abr
av
anti
ac
acc
ad
ap
as
bin
bas
bak
cab
cat
cmd
com
cr
c
drv
db
disk
dll
dns
dos
doc
dvd
eula
exp
fax
font
ftp
hard
iis
img
inet
info
ip
java
kb
key
lib
log
main
ms
mc
mfc
mp3
msvc
nut
odbc
ole
pc
ps
play
ras
reg
run
sys
srv
svr
svc
s
tapi
tcp
task
un
url
util
vb
vga
vss
xml
wave
web
w
win
wms

Nun wird die eben erzeugte Datei in einen der folgenden Ordner gespeichert:

o %Windir%\addins\
o %Windir%\AppPatch\
o %Windir%\assembly\
o %Windir%\Config\
o %Windir%\Cursors\
o %Windir%\Driver Cache\
o %Windir%\Drivers\
o %Windir%\Fonts\
o %Windir%\Help\
o %Windir%\inf\
o %Windir%\java\
o %Windir%\Microsoft.NET\
o %Windir%\msagent\
o %Windir%\Registration\
o %Windir%\repair\
o %Windir%\security\
o %Windir%\ServicePackFiles\
o %Windir%\Speech\
o %Windir%\system\
o %Windir%\system32\
o %Windir%\Tasks\
o %Windir%\Web\
o %Windir%\Windows Update Setup Files\
o %Windir%\Microsoft\


• Versucht eine Datei von der IP Adresse 62.4.84.41 herunter zuladen und auszuführen.

Diese Datei ist ein Adware Modul mit einer eingebetteten DLL Komponente

• Speichert die eingebettete DLL als %Temp%[reversed Trojan file name].dat

• Speist die eingebettete DLL in den Adress Raum einiger gerade laufenden Prozesse, und jeder Prozess Ausgeführt nachdem der Threat angefangen hat zu laufen.

• Erzeugt die folgenden temporären Dateien, welche nicht bösartig sind.

o [reversed Trojan file name].bak1
o [reversed Trojan file name].bak2
o [reversed Trojan file name].ini

• Zeigt Werbung auf dem infizierten Computer an.

• Startet die Adware Komponente neu, sobald der Trojaner erkennt, dass die Adware Komponente gestoppt hat.

• Nachdem ein Neustart erfolgt ist, startet der Trojaner mit einem „rerun“ Parameter. Sobald dies der Fall ist wird folgender Wert hinzugefügt:

"*[Trojan file name]" = "[Trojan full path file name]"
in den Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• Vermindert die Performance des Computers, in dem Vundo den Wert für den verfügbaren Virtuellen Speicher vermindert.
Vundo erreicht dies, indem er einen Bug im Microsoft Internet Explorer ausnutzt (BUG ID 11515)



Technische Beschreibung:

Trojan.Vundo besteht aus vier Teilen.
Der erste Teil besteht aus einem HTML Code welcher einen Bug im Microsoft Internet Explorer ausnützt. (BUG ID 11515)
Der zweite Teil ist ein Dowloader Komponent.
Der dritte Teil ist die eigentliche Adware.
Der vierte Teil ist ein DLL Modul welches die Adware installiert.

Um mehr Informationen zu dem Betreffenden Bug im Microsoft Internet Explorer zu finden, sei auf folgenden Link verwiesen: Microsoft Internet Explorer Malformed IFRAME Remote Buffer Overflow Vulnerability



__________________________________________________








Manuelle Entfernung:

Um die erzeugten Registry Werte wieder zu löschen sind folgende Schritte durchzuführen:

1.) Start > Ausführen

2.) Eingeben des Befehls regedit und bestätigen mit OK

3.) Folgende Werte in den Keys löschen:

"*WinLogon" = "[Trojan full path file name] ren time:[random number]"

in den Registry Key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Active State

"*[Trojan file name]" = "[Trojan full path file name] rerun"

in den Registry Key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

"[Default value]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"

in den Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}

4.) Editor verlassen und Windows neu starten.

Das ist alles was du am Schluss noch machen musst, dann ist er weg ... Viel spaß


LG hdrfan

Zitat:

Zitat von Bugsbenny

aber an Neuinstallation geht kein weg dran vorbei?

Nein - da es sich um einen Backdoor handelt, der bei Dir aktiv ist. Du kannst das System physikalisch vom Internet trennen (Ziehen des Verbindungssteckers), und dann noch eine Sicherung Deiner Daten (nur Daten, keine Programm- und Installationsdateien!) vornehmen.

Mit diesem System solltest Du jedoch, solange es nicht neu aufgesetzt ist, nicht mehr online gehen. Ändere umgehend von einem sauberen System (!) aus Deine Passwörter, Zugangsdaten. Beachte zudem:

Anleitung - Neuaufsetzen des Systems / anschliessende Absicherung
Anleitung - Neuaufsetzen des Systems / anschliessende Absicherung

also, hab jetzt alle programme durchlaufen lassen!
Clean up gemacht
vundofix ausgeführt

avg antispyware gemacht
antivir
f-secure internet security
gemacht

soweit alles bei Funden gelöscht und danach nochmal durchlaufen lassen!
Bei den letzten Durchläufen ist nix mehr gefunden worden. kann ich nun davon ausgehen das alles okay ist, oder muss ich trotz allem neuinstallieren?

Zitat:

Zitat von hdrfan

O17 - HKLM\System\CCS\Services\Tcpip\..\{01941117-BA36-4062-BAFF-8
6971E7DE346}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{01941117-BA36-4062-BAFF-8
6971E7DE346}: NameServer = 192.168.2.1


sind meineswissens nach Hijacker...

Das sind keine Hijacker, sondern Nameservereinträge, die auf die EumexIP verweisen.

auch gut^^ hätte mir die IP mal anschauen müssen...


die exe müsste in C:\WINDOWS\system32 sein wenn nicht auch gut...vergess das mit der Systemwiederherstellung^^