| |
| |||||||
Log-Analyse und Auswertung: TrojanVundoWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
03.09.2007, 11:53
| #1 |
| |  TrojanVundo Hallo! Ich bin neu hier im Forum, habe mir eure Tutorials durchgelesen und hoffe ich gehe nun richtig vor. Ansonsten hoffe ich, dass ihr ein wenig Nachsicht habt mit einem Neuling.  Ich bin gerade im Heimaturlaub und sitze am Rechner meiner Mutter, die sich damit leider viel zu wenig auskennt und sich meines Erachtens den Trojaner Vundo.Gen geholt hat. Bei meinen ersten Durchläufen mit Ad Aware wurden 106 Infizierungen gefunden!! Und auch bei weiteren Durchläufen mit Spyware Doctor und dem Avira Scanner wurden noch einige gefunden. Mir ist es selbst ein Rätsel, wie diese ganzen Viren auf den Rechner kommen konnten. Es öffnen sich dauernd Popup-Fenster, in denen darum gebeten wird irgendwelche kostenpflichtigen Antivirenprogramme zu installieren. Avira AntVir brachte in unregelmäßigen Zeitabständen die Meldung, dass folgende Dateien eine Bedrohung für das System darstellen. Leider muss ich zugeben (wie man im Hijack-Log erkennen kann), dass ich mich davor nicht ausgiebig über die Dateien und das Problem informiert hatte und gab dem Programm den Befehl, diese Dateien zu löschen. Ich hoffe dadurch wurden nicht wichtige Systemdateien entfernt? Hier die Dateien: C:\WINDOWS\system32\awvvu.dll C:\WINDOWS\SYSTEM32\urqoppq.dll Danke für die Hilfe! Hier das Hijack-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 12:27:54, on 03.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\Programme\SPAMfighter\SFAgent.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\regsvr32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.fujitsu-siemens.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {318C257F-4C0A-4500-8998-DCF52F011824} - C:\WINDOWS\system32\mllmm.dll (file missing) O2 - BHO: (no name) - {39C6B6C8-E01E-3175-B583-04FDA1EE088B} - C:\Programme\Zyrfegih\kulyastm.dll O2 - BHO: (no name) - {435D08DD-665E-474F-B977-5EE75A2BDCB2} - C:\WINDOWS\system32\urqoppq.dll O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60 O4 - HKLM\..\Run: [pubyxcha] rundll32.exe "C:\Programme\pubyxcha\nmryleli.dll",Init O4 - HKLM\..\Run: [stmhgzyx] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stmhgzyx.dll" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Device Detection] C:\Programme\Aldi Sued Fotoservice\dd.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://www.fujitsu-siemens.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{51638461-CB7A-4522-B400-B264F2BC7937}: NameServer = 192.168.150.10 O20 - Winlogon Notify: awvvu - C:\WINDOWS\system32\awvvu.dll (file missing) O20 - Winlogon Notify: cbxwttq - cbxwttq.dll (file missing) O20 - Winlogon Notify: mllmm - C:\WINDOWS\system32\mllmm.dll (file missing) O20 - Winlogon Notify: urqoppq - C:\WINDOWS\SYSTEM32\urqoppq.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
|
03.09.2007, 12:00
| #2 |
| > MalwareDB   | TrojanVundo Vundofix
__________________* Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. * nach dem neustart, navigierst du zur datei C:\vundofix.txt, poste den inhalt * C:\VundoFix Backups - löschen + Papierkorb leeren * erstelle ein neues hjt-logfile und poste es. Bata |
|
03.09.2007, 12:23
| #3 |
| | TrojanVundo danke für die schnelle hilfe.
__________________hier der inhalt der vundofix.txt: VundoFix V6.5.7 Checking Java version... Sun Java not detected Scan started at 13:09:28 03.09.2007 Listing files found while scanning.... C:\WINDOWS\system32\mllmm.dll C:\WINDOWS\system32\mmllm.bak1 C:\WINDOWS\system32\mmllm.bak2 C:\WINDOWS\system32\mmllm.ini C:\WINDOWS\system32\mmllm.ini2 C:\WINDOWS\system32\mmllm.tmp Beginning removal... Attempting to delete C:\WINDOWS\system32\mmllm.bak1 C:\WINDOWS\system32\mmllm.bak1 Has been deleted! Attempting to delete C:\WINDOWS\system32\mmllm.bak2 C:\WINDOWS\system32\mmllm.bak2 Has been deleted! Attempting to delete C:\WINDOWS\system32\mmllm.ini C:\WINDOWS\system32\mmllm.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\mmllm.ini2 C:\WINDOWS\system32\mmllm.ini2 Has been deleted! Attempting to delete C:\WINDOWS\system32\mmllm.tmp C:\WINDOWS\system32\mmllm.tmp Has been deleted! Performing Repairs to the registry. Done! und das neue hijackthis-logfile: Logfile of HijackThis v1.99.1 Scan saved at 13:27:04, on 03.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\SPAMfighter\SFAgent.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\regsvr32.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.fujitsu-siemens.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {318C257F-4C0A-4500-8998-DCF52F011824} - C:\WINDOWS\system32\mllmm.dll (file missing) O2 - BHO: (no name) - {39C6B6C8-E01E-3175-B583-04FDA1EE088B} - C:\Programme\Zyrfegih\kulyastm.dll O2 - BHO: (no name) - {435D08DD-665E-474F-B977-5EE75A2BDCB2} - C:\WINDOWS\system32\urqoppq.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60 O4 - HKLM\..\Run: [pubyxcha] rundll32.exe "C:\Programme\pubyxcha\nmryleli.dll",Init O4 - HKLM\..\Run: [stmhgzyx] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stmhgzyx.dll" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Device Detection] C:\Programme\Aldi Sued Fotoservice\dd.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://www.fujitsu-siemens.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{51638461-CB7A-4522-B400-B264F2BC7937}: NameServer = 192.168.150.10 O20 - Winlogon Notify: awvvu - C:\WINDOWS\system32\awvvu.dll (file missing) O20 - Winlogon Notify: cbxwttq - cbxwttq.dll (file missing) O20 - Winlogon Notify: mllmm - C:\WINDOWS\system32\mllmm.dll (file missing) O20 - Winlogon Notify: urqoppq - C:\WINDOWS\SYSTEM32\urqoppq.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
|
03.09.2007, 15:08
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TrojanVundo Da ist noch mehr Mist im System: C:\Programme\Zyrfegih\kulyastm.dll C:\WINDOWS\system32\urqoppq.dll C:\Programme\pubyxcha\nmryleli.dll C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stmhgzyx.dll Werte diese Dateien bitte online bei Virustotal aus und poste die Ergebnisse. Mach auch bitte einen Check mit Blacklight und poste das Logfile.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
03.09.2007, 18:25
| #5 |
| > MalwareDB | TrojanVundo Gehe nach cosinus Schritten wie folgt vor, gehört alles noch zu Vundo Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind. O2 - BHO: (no name) - {318C257F-4C0A-4500-8998-DCF52F011824} - C:\WINDOWS\system32\mllmm.dll (file missing) O2 - BHO: (no name) - {39C6B6C8-E01E-3175-B583-04FDA1EE088B} - C:\Programme\Zyrfegih\kulyastm.dll O2 - BHO: (no name) - {435D08DD-665E-474F-B977-5EE75A2BDCB2} - C:\WINDOWS\system32\urqoppq.dll O4 - HKLM\..\Run: [pubyxcha] rundll32.exe "C:\Programme\pubyxcha\nmryleli.dll",Init O4 - HKLM\..\Run: [stmhgzyx] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stmhgzyx.dll" O20 - Winlogon Notify: awvvu - C:\WINDOWS\system32\awvvu.dll (file missing) O20 - Winlogon Notify: cbxwttq - cbxwttq.dll (file missing) O20 - Winlogon Notify: mllmm - C:\WINDOWS\system32\mllmm.dll (file missing) O20 - Winlogon Notify: urqoppq - C:\WINDOWS\SYSTEM32\urqoppq.dll dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus. Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien/Ordner (wenn vorhanden): C:\WINDOWS\SYSTEM32\urqoppq.dll C:\WINDOWS\system32\mllmm.dll cbxwttq.dll C:\WINDOWS\system32\awvvu.dll C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stmhgzyx.dll C:\Programme\pubyxcha\nmryleli.dll C:\Programme\pubyxcha C:\WINDOWS\system32\urqoppq.dll C:\Programme\Zyrfegih\kulyastm.dll C:\Programme\Zyrfegih C:\WINDOWS\system32\mllmm.dll Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Bata |
|
03.09.2007, 23:53
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TrojanVundo Sorry Alex.  Ich will dir nichts zwischen dir Hörner werfen, aber bist du dir sicher, dass alles noch zu Vundo gehört?  So ein fieses Logfile hab ich schon lange nicht mehr gesehen.
__________________ --> TrojanVundo |
|
04.09.2007, 13:51
| #7 |
| | TrojanVundo Ok, zunächst hier mal die Auswertungen von VirusTotal für cosinus: 1.) C:\Programme\Zyrfegih\kulyastm.dll Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.4.1 2007.09.04 - AntiVir 7.4.1.66 2007.09.04 HEUR/Crypted Authentium 4.93.8 2007.09.04 - Avast 4.7.1029.0 2007.09.04 - AVG 7.5.0.485 2007.09.04 - BitDefender 7.2 2007.09.04 - CAT-QuickHeal 9.00 2007.09.03 - ClamAV 0.91.2 2007.09.04 - DrWeb 4.33 2007.09.04 - eSafe 7.0.15.0 2007.09.03 - eTrust-Vet 31.1.5107 2007.09.04 - Ewido 4.0 2007.09.04 - FileAdvisor 1 2007.09.04 - Fortinet 3.11.0.0 2007.09.04 - F-Prot 4.3.2.48 2007.09.04 - F-Secure 6.70.13030.0 2007.09.04 - Ikarus T3.1.1.12 2007.09.04 - Kaspersky 4.0.2.24 2007.09.04 - McAfee 5111 2007.09.03 - Microsoft 1.2803 2007.09.04 - NOD32v2 2502 2007.09.04 - Norman 5.80.02 2007.09.04 - Panda 9.0.0.4 2007.09.04 - Prevx1 V2 2007.09.04 KickStart:Trojan-S Rising 19.39.12.00 2007.09.04 - Sophos 4.21.0 2007.09.04 - Sunbelt 2.2.907.0 2007.08.31 - Symantec 10 2007.09.04 - TheHacker 6.1.9.177 2007.09.04 - VBA32 3.12.2.3 2007.09.03 - VirusBuster 4.3.26:9 2007.09.03 - Webwasher-Gateway 6.0.1 2007.09.04 Heuristic.Crypted weitere Informationen File size: 98304 bytes MD5: 17e67f2de0403b0846a5d6112ac9e7f5 SHA1: c06adc1929105e634d62d17c491870ac581f170b Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=9E521E4500472B6580CD01DC7895C40030ECEC7A 2.) C:\WINDOWS\system32\urqoppq.dll Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.4.1 2007.09.04 - AntiVir 7.4.1.66 2007.09.04 TR/Vundo.Gen Authentium 4.93.8 2007.09.04 - Avast 4.7.1029.0 2007.09.04 - AVG 7.5.0.485 2007.09.04 Adware Generic2.OVQ BitDefender 7.2 2007.09.04 Trojan.Vundo.DMV CAT-QuickHeal 9.00 2007.09.03 - ClamAV 0.91.2 2007.09.04 - DrWeb 4.33 2007.09.04 Trojan.Virtumod.206 eSafe 7.0.15.0 2007.09.03 Suspicious Trojan/Worm eTrust-Vet 31.1.5107 2007.09.04 Win32/Vundo!generic Ewido 4.0 2007.09.04 - FileAdvisor 1 2007.09.04 - Fortinet 3.11.0.0 2007.09.04 Adware/VirtuMonde F-Prot 4.3.2.48 2007.09.04 - F-Secure 6.70.13030.0 2007.09.04 Trojan-PSW.Win32.OnLineGames.bmm Ikarus T3.1.1.12 2007.09.04 not-a-virus:AdWare.Win32.Virtumonde.jp Kaspersky 4.0.2.24 2007.09.04 Trojan-PSW.Win32.OnLineGames.bmm McAfee 5111 2007.09.03 - Microsoft 1.2803 2007.09.04 - NOD32v2 2502 2007.09.04 - Norman 5.80.02 2007.09.04 W32/Vundo.dam Panda 9.0.0.4 2007.09.04 Suspicious file Prevx1 V2 2007.09.04 Generic.Malware Rising 19.39.12.00 2007.09.04 - Sophos 4.21.0 2007.09.04 Virtumundo Sunbelt 2.2.907.0 2007.08.31 VIPRE.Suspicious Symantec 10 2007.09.04 Adware.VirtuMonde TheHacker 6.1.9.177 2007.09.04 Adware/Virtumonde.jp VBA32 3.12.2.3 2007.09.03 - VirusBuster 4.3.26:9 2007.09.03 Adware.Vundo.P.Gen Webwasher-Gateway 6.0.1 2007.09.04 Trojan.Vundo.Gen weitere Informationen File size: 43542 bytes MD5: 819e50d545132cccfdc3d38fc5b92459 SHA1: d024ec235ec2c2830f32bbcffbe674518b74f87b packers: PecBundle, PECompact Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=04B3B6FF16D7DB48AA5700736A3EFA00BBBEF967 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. 3.) C:\Programme\pubyxcha\nmryleli.dll Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.4.1 2007.09.04 - AntiVir 7.4.1.66 2007.09.04 HEUR/Crypted Authentium 4.93.8 2007.09.04 - Avast 4.7.1029.0 2007.09.04 - AVG 7.5.0.485 2007.09.04 - BitDefender 7.2 2007.09.04 - CAT-QuickHeal 9.00 2007.09.03 - ClamAV 0.91.2 2007.09.04 - DrWeb 4.33 2007.09.04 - eSafe 7.0.15.0 2007.09.03 - eTrust-Vet 31.1.5107 2007.09.04 - Ewido 4.0 2007.09.04 - FileAdvisor 1 2007.09.04 - Fortinet 3.11.0.0 2007.09.04 - F-Prot 4.3.2.48 2007.09.04 - F-Secure 6.70.13030.0 2007.09.04 - Ikarus T3.1.1.12 2007.09.04 - Kaspersky 4.0.2.24 2007.09.04 - McAfee 5111 2007.09.03 - Microsoft 1.2803 2007.09.04 - NOD32v2 2502 2007.09.04 - Norman 5.80.02 2007.09.04 - Panda 9.0.0.4 2007.09.04 - Prevx1 V2 2007.09.04 KickStart:Trojan-S Rising 19.39.12.00 2007.09.04 - Sophos 4.21.0 2007.09.04 - Sunbelt 2.2.907.0 2007.08.31 - Symantec 10 2007.09.04 - TheHacker 6.1.9.177 2007.09.04 - VBA32 3.12.2.3 2007.09.03 - VirusBuster 4.3.26:9 2007.09.03 - Webwasher-Gateway 6.0.1 2007.09.04 Heuristic.Crypted weitere Informationen File size: 46592 bytes MD5: 9ff39effcdff89284370a4a9f9c1a2bc SHA1: 38322f3598319bfa683b1ee02a95e4aeabb23c0e Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=E2C8226A00F816DDB68100D09522280018E4556B 4.) C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stmhgzyx.dll Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.4.1 2007.09.04 - AntiVir 7.4.1.66 2007.09.04 HEUR/Crypted Authentium 4.93.8 2007.09.04 - Avast 4.7.1029.0 2007.09.04 - AVG 7.5.0.485 2007.09.04 - BitDefender 7.2 2007.09.04 - CAT-QuickHeal 9.00 2007.09.03 - ClamAV 0.91.2 2007.09.04 - DrWeb 4.33 2007.09.04 - eSafe 7.0.15.0 2007.09.03 - eTrust-Vet 31.1.5107 2007.09.04 - Ewido 4.0 2007.09.04 - FileAdvisor 1 2007.09.04 - Fortinet 3.11.0.0 2007.09.04 - F-Prot 4.3.2.48 2007.09.04 - F-Secure 6.70.13030.0 2007.09.04 - Ikarus T3.1.1.12 2007.09.04 - Kaspersky 4.0.2.24 2007.09.04 - McAfee 5111 2007.09.03 - Microsoft 1.2803 2007.09.04 - NOD32v2 2502 2007.09.04 - Norman 5.80.02 2007.09.04 - Panda 9.0.0.4 2007.09.04 - Prevx1 V2 2007.09.04 KickStart:Trojan-S Rising 19.39.12.00 2007.09.04 - Sophos 4.21.0 2007.09.04 - Sunbelt 2.2.907.0 2007.08.31 - Symantec 10 2007.09.04 - TheHacker 6.1.9.177 2007.09.04 - VBA32 3.12.2.3 2007.09.03 - VirusBuster 4.3.26:9 2007.09.03 - Webwasher-Gateway 6.0.1 2007.09.04 Heuristic.Crypted weitere Informationen File size: 98304 bytes MD5: 17e67f2de0403b0846a5d6112ac9e7f5 SHA1: c06adc1929105e634d62d17c491870ac581f170b Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=9E521E4500472B6580CD01DC7895C40030ECEC7A und hier das Logfile von blacklight: 09/04/07 14:33:38 [Info]: BlackLight Engine 1.0.64 initialized 09/04/07 14:33:38 [Info]: OS: 5.1 build 2600 (Service Pack 2) 09/04/07 14:33:38 [Note]: 7019 4 09/04/07 14:33:38 [Note]: 7005 0 09/04/07 14:34:01 [Note]: 7006 0 09/04/07 14:34:01 [Note]: 7011 1720 09/04/07 14:34:01 [Note]: 7026 0 09/04/07 14:34:01 [Note]: 7026 0 09/04/07 14:34:01 [Note]: 7024 3 09/04/07 14:34:01 [Info]: Hidden process: C:\windows\system32\nynyhd.exe 09/04/07 14:34:03 [Note]: FSRAW library version 1.7.1022 09/04/07 14:34:55 [Info]: Hidden file: c:\WINDOWS\system32\nynyhd.dat 09/04/07 14:34:55 [Note]: 10002 1 09/04/07 14:34:55 [Info]: Hidden file: C:\windows\system32\nynyhd.exe 09/04/07 14:34:56 [Note]: 10002 1 09/04/07 14:34:56 [Info]: Hidden file: c:\WINDOWS\system32\nynyhd_nav.dat 09/04/07 14:34:56 [Note]: 10002 1 09/04/07 14:34:56 [Info]: Hidden file: c:\WINDOWS\system32\nynyhd_navps.dat 09/04/07 14:34:56 [Note]: 10002 1 09/04/07 14:38:38 [Note]: 7007 0 |
|
| Themen zu TrojanVundo |
| ad aware, adobe, antvir, avira, bho, einstellungen, entfernt?, excel, firefox, hijackthis, internet, internet explorer, mozilla, mozilla firefox, object, popup-fenster, problem, rundll, scan, shockwave, software, spyware, symantec, system, trojaner, viren, vundo, vundo.gen, windows, windows xp |
Hybrid-Darstellung