Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.05.2008, 11:16   #1
Severin77
 
Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G - Standard

Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G



Hi,
ich habe seit gestern ein Problem mit einem Virus. Laut meinem AntiVir-Programm handelt es sich um den Skriptvirus VBS/Agent.1002, der sich in den verschiedensten .tt...-Dateien einnistet oder diese selbst erstellt unter C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp . Die Folge ist, dass nach jedem Neustart das Hintergrundbild wechselt und mir die Warnung anzeigt:

Warning!Spyware detected on your computer!
Install an antivirus or spyware remover to clean your computer

Manchmal krabbeln auch für kurze Zeit Käfer über meinen Desktop und knabbern die Icons an. Es kam zuerst auch immer eine Liste hoch in der ich auswählen sollte, welches Programm ich kaufen will, bis ich den Button geklickt hab, dass ich ungescannt weiterarbeiten möchte. Ansonsten kann ich eigentlich normal arbeiten, ausser das ich das Gefühl hab das der Rechner langsamer ist als sonst.

Ich habe mir auch mittels HJT ein log-file erstellt:

Logfile of Trend Micro HijackThis v2.0.2


[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]



Nachdem ich die log-file erstellt hatte, meldete mir mein AntiVir-Programm noch den Dropper DR/FraudTool.WinFixer.G .

Hab jetzt ziemliche Bedenken, dass meine Daten eingesehen werden können.

Könnt ihr mir helfen?

Schönen Gruss

Severin

Geändert von Sunny (30.05.2008 um 14:48 Uhr)

Alt 30.05.2008, 11:27   #2
Mellosun
 
Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G - Standard

Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G



Hallo Severin77,

folgende Dateien Online auswerten lassen:

Code:
ATTFilter
C:\WINDOWS\SYSTEM32\ljJCtqoL.dll
C:\WINDOWS\system32\gperfppr.dll
C:\WINDOWS\system32\ctfmona.exe
C:\WINDOWS\system32\ljJCtqoL.dll
C:\WINDOWS\system32\ljJARhIc.dll
         
Link zu Virustotal oder Jotti findes du in meiner Signatur!
Poste alles auch wenn nix gefunden wird, einschließlich der dort angegebenen größe sowie der Prüfsumme der Datei!
Wie man alle Dateien sichtbar macht, kannst du ebenfalls aus meiner Sig entnehmen!

Mache danach einen Scan mit Malwarebytes (möglichst im abgesicherten Modus)! Lasse alles löschen was er findet und Poste das Log sowie ein neues HijackThis Log!


Gruß Mello
__________________

__________________

Alt 30.05.2008, 13:37   #3
Severin77
 
Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G - Standard

Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G



Hi mellosun,
ich habe die dateien mit Virustotal auswerten lassen:

datei C:\WINDOWS\SYSTEM32\ljJCtqoL.dll:
VirusTotal - Kostenloser online Viren- und Malwarescanner -Ergebnis Page 1 of 3


| ..... |


| Slovenšcina | Dansk | ....... | Româna | Türkçe | Nederlands | ........ | Français | Svenska |
Português | Italiano | |


| Magyar | Cesky | Polski | Español | English


Virustotal analysiert verdächtige Dateien und
erleichtert die schnelle Erkennung von Viren,
Würmern, Trojanern und jeglicher Art von
Malware, welche von den Antivirus-Engines
festgestellt werden. Weitere Informationen...


Datei ljJCtqoL.dll empfangen 2008.05.30 11:37:36 (CET)
Status: Beendet
Ergebnis: 2/32 (6.25%)
Drucken der Ergebnisse
Filter


Antivirus Version letzte
aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.05.30 -
AntiVir 7.8.0.24 2008.05.30 -
Authentium 5.1.0.4 2008.05.29 -
Avast 4.8.1195.0 2008.05.29 -
AVG 7.5.0.516 2008.05.29 -
BitDefender 7.2 2008.05.30 -
CAT-QuickHeal 9.50 2008.05.29 -
ClamAV 0.92.1 2008.05.30 -
DrWeb 4.44.0.09170 2008.05.30 -
eSafe 7.0.15.0 2008.05.29 -
eTrust-Vet 31.4.5834 2008.05.29 -
Ewido 4.0 2008.05.29 -
F-Prot 4.4.4.56 2008.05.29 -
F-Secure 6.70.13260.0 2008.05.30 -
Fortinet 3.14.0.0 2008.05.30 -
GData 2.0.7306.1023 2008.05.30 -
Ikarus T3.1.1.26.0 2008.05.30 -
Kaspersky 7.0.0.125 2008.05.30 -
McAfee 5306 2008.05.29 -
Microsoft 1.3520 2008.05.30 Trojan:Win32/Vundo.gen!C
NOD32v2 3145 2008.05.29 -
Norman 5.80.02 2008.05.29 -
Panda 9.0.0.4 2008.05.29 -

Virustotal. MD5: be57f2b5facbcdac944f10b5b8acc78b Trojan:Win32/Vundo.gen!C Fraudulent Security Program

30.05.2008



VirusTotal - Kostenloser online Viren- und Malwarescanner -Ergebnis Page 2 of 3

Prevx1 V2 2008.05.30 Fraudulent Security
Program
Rising 20.46.40.00 2008.05.30 -
Sophos 4.29.0 2008.05.30 -
Sunbelt 3.0.1139.1 2008.05.29 -
Symantec 10 2008.05.30 -
TheHacker 6.2.92.325 2008.05.30 -
VBA32 3.12.6.6 2008.05.30 -
VirusBuster 4.3.26:9 2008.05.29 -
Webwasher-
Gateway 6.6.2 2008.05.30 -

weitere Informationen

File size: 33408 bytes

MD5...: be57f2b5facbcdac944f10b5b8acc78b

SHA1..: 80ad65248ee60210e7c448e98060b00a063211aa

SHA256: 46dc7ac788b94d0e2c1f6c83149346cda2f8f405f9d1f9378dedc6cec35e1586

SHA512: aaa4c46368fe0dca3ffca1def734ad53167346af9f90e81fc5d1871bb0143be6
722089d500b3cc69c935b14f0975ffe4f431d3cb4cbcb7346b0cffcdf8066332


PEiD..: Armadillo v1.xx - v2.xx


PEInfo: PE Structure information


( base data )
entrypointaddress.: 0x1000106c
timedatestamp.....: 0x4821945b (Wed May 07 11:36:59 2008)
machinetype.......: 0x14c (I386)


( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 5.03 59a49d0bf0c4009555cdc007723df394
BSS 0x3000 0x2000 0x1800 2.16 35dfc25d4b7eb3a1f8572f1add53acbc
CODE 0x5000 0x1000 0xa00 7.93 112bfd01851c30793eceaa655c2b63bf
BSS 0x6000 0x2000 0x1600 7.96 fbdfde627d250cd6e527ca6dae707ecc
.data 0x8000 0x8000 0x2680 7.87 ac32b7d3c310bda3d3f291aef82551db


( 5 imports )
> kernel32.dll: CloseHandle, CreateFileA, DeleteCriticalSection,
DeleteFileA, EnterCriticalSection, GetFileSize, GetFileType,
GetProcAddress, InitializeCriticalSection, LeaveCriticalSection,
LoadLibraryA, OpenMutexA, OpenProcess, ResumeThread, Sleep,
TerminateThread, VirtualAlloc, VirtualFree, VirtualProtect,
WaitForSingleObject, WinExec
> user32.dll: BeginPaint, GetCapture, GetCursorPos, GetDC,
GetSystemMetrics, GetWindow, GetWindowDC, GetWindowDC, GetWindowTextA,
GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA,
LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA,
PostQuitMessage
> gdi32.dll: CombineRgn, CreateBrushIndirect, CreateCompatibleBitmap,
CreateCompatibleDC, CreateDIBSection, CreateRectRgn, CreateSolidBrush,
DeleteDC, DeleteObject, GetDeviceCaps, GetPixel, GetStockObject, MoveToEx,


Virustotal. MD5: be57f2b5facbcdac944f10b5b8acc78b Trojan:Win32/Vundo.gen!C Fraudulent Security Program

30.05.2008



VirusTotal - Kostenloser online Viren- und Malwarescanner -Ergebnis Page 3 of 3

Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode,
SetBrushOrgEx, SetPixel, StretchBlt, TextOutA
> shell32.dll: DragAcceptFiles, SHBrowseForFolder> comdlg32.dll: ChooseColorA, ChooseFontA, GetSaveFileNameA

( 0 exports )

Prevx info: Prevx - Helping You Fix The Threats That Others Miss
PX5=AFAFA67F802439F282A0002DDDE82A00FCD0ACD2


datei C:\WINDOWS\system32\gperfppr.dll
Virustotal. MD5: 2686a8107dd1af193c9764e9e165675e Trojan:Win32/Vundo.gen!E ... Page 1 of 3


| ..... |


| Slovenšcina | Dansk | ....... | Româna | Türkçe | Nederlands | ........ | Français | Svenska |
Português | Italiano | |


| Magyar | Cesky | Polski | Español | English


Virustotal analysiert verdächtige Dateien und
erleichtert die schnelle Erkennung von Viren,
Würmern, Trojanern und jeglicher Art von
Malware, welche von den Antivirus-Engines
festgestellt werden. Weitere Informationen...


Datei mysnsnma.dll empfangen 2008.05.30 04:07:53 (CET)
Status: Beendet
Ergebnis: 5/32 (15.62%)
Drucken der Ergebnisse
Filter


Antivirus Version letzte
aktualisierung Ergebnis
AhnLab-V3 2008.5.29.0 2008.05.29 -
AntiVir 7.8.0.24 2008.05.29 -
Authentium 5.1.0.4 2008.05.29 -
Avast 4.8.1195.0 2008.05.29 Win32:Vundo@dll
AVG 7.5.0.516 2008.05.29 -
BitDefender 7.2 2008.05.30 -
CAT-QuickHeal 9.50 2008.05.29 -
ClamAV 0.92.1 2008.05.29 -
DrWeb 4.44.0.09170 2008.05.29 -
eSafe 7.0.15.0 2008.05.29 -
eTrust-Vet 31.4.5834 2008.05.29 -
Ewido 4.0 2008.05.29 -
F-Prot 4.4.4.56 2008.05.29 -
F-Secure 6.70.13260.0 2008.05.30 -
Fortinet 3.14.0.0 2008.05.29 -
GData 2.0.7306.1023 2008.05.29 Win32:Vundo
Ikarus T3.1.1.26.0 2008.05.30 -
Kaspersky 7.0.0.125 2008.05.30 -
McAfee 5306 2008.05.29 -
Microsoft 1.3520 2008.05.30 Trojan:Win32/Vundo.gen!E
NOD32v2 3145 2008.05.29 -
Norman 5.80.02 2008.05.29 -
Panda 9.0.0.4 2008.05.29 -

Virustotal. MD5: 2686a8107dd1af193c9764e9e165675e Trojan:Win32/Vundo.gen!E Win32:Vundo@dll Win32:Vundo

30.05.2008



Virustotal. MD5: 2686a8107dd1af193c9764e9e165675e Trojan:Win32/Vundo.gen!E ... Page 2 of 3

Prevx1 V2 2008.05.30 Fraudulent Security Program
Rising 20.46.32.00 2008.05.29 -
Sophos 4.29.0 2008.05.30 -
Sunbelt 3.0.1139.1 2008.05.29 -
Symantec 10 2008.05.30 -
TheHacker 6.2.92.325 2008.05.30 -
VBA32 3.12.6.6 2008.05.29 -
VirusBuster 4.3.26:9 2008.05.29 -
Webwasher-
Gateway 6.6.2 2008.05.29 Win32.Malware.gen
(suspicious)

weitere Informationen

File size: 95232 bytes

MD5...: 2686a8107dd1af193c9764e9e165675e

SHA1..: 93da0493fc90ea5c6f32be86aa8ee3cd8236b718

SHA256: 7e14df5de7cd827d809aea6476da63625b76163ca510364be3f5b5404cce4df4

SHA512: 7e53e7069e053627172ac4d27612ccf846f6fe3dbb22f1a2d6a4962634d8d450
6f56119bdcf65df1d017d9a9f2793f1346118a37e83439318d66ea2418f987f5


PEiD..: Armadillo v1.xx - v2.xx


PEInfo: PE Structure information


( base data )
entrypointaddress.: 0x10001377
timedatestamp.....: 0x483c23d4 (Tue May 27 15:08:04 2008)
machinetype.......: 0x14c (I386)


( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 5.00 63b00a5bfe983ff0d3b2856d328abf57
.code 0x3000 0x2000 0x1800 1.96 f356ca0d51224a1301b0a2634b8dc267
BSS 0x5000 0x5000 0x4c00 7.99 4dfdb978cc033d408dc424760e80f624
.idata 0xa000 0x3000 0x3000 7.99 c25af4ae4f535e4fc1a5bfb7d10f44c6
.rsrc 0xd000 0x19000 0xa200 7.98 100f76f990c3ce105d858e8d09c4bc9a


( 4 imports )
> kernel32.dll: ExitProcess, FindClose, FindFirstFileA, FreeLibrary,
GetCommandLineA, GetCurrentThreadId, GetLastError, GetModuleFileNameA,
GetModuleHandleA, GetProcAddress, LoadLibraryA, lstrcpyn, lstrlen,
MultiByteToWideChar, ReadFile, SetEndOfFile, SetFilePointer,
UnhandledExceptionFilter, VirtualAlloc, VirtualFree, VirtualProtect,
WideCharToMultiByte, WriteFile
> user32.dll: BeginPaint, GetSystemMetrics, GetWindow, GetWindowDC,
GetWindowDC, GetWindowTextA, GetWindowTextLengthA, InvalidateRect,
IsWindow, KillTimer, LoadCursorA, LoadIconA, LoadStringA, MessageBoxA,
PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture
> gdi32.dll: SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel,
SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA
> shell32.dll: DllRegisterServer, DllUnregisterServer, DragFinish,
DragQueryFile, DragQueryPoint, Shell_NotifyIcon, ShellExecuteA


Virustotal. MD5: 2686a8107dd1af193c9764e9e165675e Trojan:Win32/Vundo.gen!E Win32:Vundo@dll Win32:Vundo

30.05.2008



Virustotal. MD5: 2686a8107dd1af193c9764e9e165675e Trojan:Win32/Vundo.gen!E ... Page 3 of 3

( 0 exports )

Prevx info: Prevx - Helping You Fix The Threats That Others Miss
PX5=188F9B70003F9A8D741A012DDDE82A0047D155E8


datei C:\WINDOWS\system32\ctfmona.exe:
Virustotal. MD5: 850de4050fefcbbb6f3e631020557ea6 HEUR/Malware W32/Tibs.K.... Page 1 of 2


| ..... |


| Slovenšcina | Dansk | ....... | Româna | Türkçe | Nederlands | ........ | Français | Svenska |


Português | Italiano | | | Magyar | Cesky | Polski | Español | English


Virustotal analysiert verdächtige Dateien und
erleichtert die schnelle Erkennung von Viren,
Würmern, Trojanern und jeglicher Art von
Malware, welche von den Antivirus-Engines
festgestellt werden. Weitere Informationen...

Datei 1 empfangen 2008.05.29 11:26:13 (CET)
Status: Beendet
Ergebnis: 7/32 (21.88%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 ---
AntiVir --HEUR/Malware
Authentium --W32/Tibs.K.gen!Eldorado
Avast ---
AVG ---
BitDefender ---
CAT-QuickHeal --(Suspicious) -DNAScan
ClamAV ---
DrWeb ---
eSafe --Suspicious File
eTrust-Vet ---
Ewido ---
F-Prot --W32/Tibs.K.gen!Eldorado
F-Secure ---
Fortinet ---
GData ---
Ikarus ---
Kaspersky ---
McAfee ---
Microsoft ---
NOD32v2 ---
Norman ---
Panda ---
Prevx1 --Cloaked Malware
Rising ---
Sophos ---
Sunbelt ---
Symantec ---
TheHacker ---
VBA32 ---
VirusBuster ---
Webwasher-Gateway --Heuristic.Malware
weitere Informationen

MD5: 850de4050fefcbbb6f3e631020557ea6

SHA1: 381b942b64094cc82a6bcde4fc685b14bb506850

SHA256: a57dc4891ad040b97d53dc9a03e583cb2bb8ba044d63d208e2141dc593a32bf8

SHA512:
5839a0842111bd818d6c9e03e7a58700bc3a8e26e33235a34eec91808afa5f5157063a6ffdd6bfb48d795f2525edcd25d9f9138930

datei C:\WINDOWS\system32\ljJARhIc.dll:
VirusTotal - Kostenloser online Viren- und Malwarescanner -Ergebnis Page 1 of 3


| ..... |


| Slovenšcina | Dansk | ....... | Româna | Türkçe | Nederlands | ........ | Français | Svenska |
Português | Italiano | |


| Magyar | Cesky | Polski | Español | English


Virustotal analysiert verdächtige Dateien und
erleichtert die schnelle Erkennung von Viren,
Würmern, Trojanern und jeglicher Art von
Malware, welche von den Antivirus-Engines
festgestellt werden. Weitere Informationen...


Datei ljJARhIc.dll empfangen 2008.05.30 11:47:22 (CET)
Status: Beendet
Ergebnis: 8/32 (25%)
Drucken der Ergebnisse
Filter


Antivirus Version letzte
aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.05.30 -
AntiVir 7.8.0.24 2008.05.30 -
Authentium 5.1.0.4 2008.05.29 -
Avast 4.8.1195.0 2008.05.29 Win32:Vundo@dll
AVG 7.5.0.516 2008.05.29 Vundo
BitDefender 7.2 2008.05.30 -
CAT-QuickHeal 9.50 2008.05.29 -
ClamAV 0.92.1 2008.05.30 -
DrWeb 4.44.0.09170 2008.05.30 -
eSafe 7.0.15.0 2008.05.29 -
eTrust-Vet 31.4.5834 2008.05.29 -
Ewido 4.0 2008.05.29 -
F-Prot 4.4.4.56 2008.05.29 -
F-Secure 6.70.13260.0 2008.05.30 Vundo.gen148
Fortinet 3.14.0.0 2008.05.30 -
GData 2.0.7306.1023 2008.05.30 Win32:Vundo
Ikarus T3.1.1.26.0 2008.05.30 -
Kaspersky 7.0.0.125 2008.05.30 -
McAfee 5306 2008.05.29 -
Microsoft 1.3520 2008.05.30 -
NOD32v2 3145 2008.05.29 -
Norman 5.80.02 2008.05.29 Vundo.gen148
Panda 9.0.0.4 2008.05.29 -

Virustotal. MD5: 33d4bde52a7a184a6e70df151c40792a Vundo.gen148 Win32:Vundo@dll Vundo

30.05.2008



VirusTotal - Kostenloser online Viren- und Malwarescanner -Ergebnis Page 2 of 3

Prevx1 V2 2008.05.30 Fraudulent Security Program
Rising 20.46.40.00 2008.05.30 Trojan.Win32.Virtumod.ak
Sophos 4.29.0 2008.05.30 -
Sunbelt 3.0.1139.1 2008.05.29 -
Symantec 10 2008.05.30 -
TheHacker 6.2.92.325 2008.05.30 -
VBA32 3.12.6.6 2008.05.30 -
VirusBuster 4.3.26:9 2008.05.29 -
Webwasher-
Gateway 6.6.2 2008.05.30 Win32.Malware.gen!90
(suspicious)

weitere Informationen

File size: 322816 bytes

MD5...: 33d4bde52a7a184a6e70df151c40792a

SHA1..: 77baf5b85494dd5094b9509810b2fd55923d63f1

SHA256: aefa43cebcc55b00cb2121c17c91c95f7acb29760862a73c7a2ed8427894104b

SHA512: e2721cb47b825db5a32d5343366c1c1edc77f91f503964ebac04882b60dcc054
44d3d249c4da79d124ac8792f1b7684c915c9c62ef0035b2d3d3788c77bfb5a8


PEiD..: Armadillo v1.xx - v2.xx


PEInfo: PE Structure information


( base data )
entrypointaddress.: 0x100012cd
timedatestamp.....: 0x483d66b0 (Wed May 28 14:05:36 2008)
machinetype.......: 0x14c (I386)


( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 5.04 da68a22e6a5256c58730770dc1b6e6b2
BSS 0x3000 0x2000 0x1800 2.19 dac72fb925acf2de3aa47c7b7622358e
.rdata 0x5000 0x8000 0x7c00 7.99 e85ae8f9421caaedcc0970c65a2916cd
.data 0xd000 0x2000 0x1200 7.96 8013723f66908a2c5bc3d2fe912b1363
CRT 0xf000 0x7000 0x6800 7.99 6734f1c71983c9381cd62cebb88611a2
CRT 0x16000 0x9000 0x8200 7.99 516f7f335e5adaaab72785a8b8612311
CODE 0x1f000 0x7000 0x6c00 7.99 c98076248494c8812b9ba7b97f4bd546
.data 0x26000 0x77000 0x2cd00 8.00 29e0c17cd90b9f24a558f1f300e59ec3


( 3 imports )
> kernel32.dll: GetProcAddress, LoadLibraryA, VirtualAlloc, VirtualFree,
VirtualProtect, WinExec
> user32.dll: BeginPaint, CreateMenu, CreateWindowExA, DestroyCursor,
DestroyWindow, EndPaint, ExitWindowsEx, FindWindowExA, GetCapture,
GetCursorPos, GetDC, GetSystemMetrics, GetWindow, GetWindowDC, GetWindowDC,
GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer,
LoadCursorA, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA,
PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture, ReleaseDC,
SendMessageA, SetCursor, SetForegroundWindow, SetMenu, SetMenuItemInfoA,
SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer,
SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA,
TranslateMessage, UpdateWindow, ValidateRect, WaitMessage, wvsprintfA


Virustotal. MD5: 33d4bde52a7a184a6e70df151c40792a Vundo.gen148 Win32:Vundo@dll Vundo

30.05.2008



VirusTotal - Kostenloser online Viren- und Malwarescanner -Ergebnis Page 3 of 3

> gdi32.dll: CombineRgn, CreateBrushIndirect, CreateCompatibleBitmap,
CreateCompatibleDC, GetPixel, GetStockObject, MoveToEx, Rectangle,
RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx,
SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt,
TextOutA

( 0 exports )

Prevx info: Prevx - Helping You Fix The Threats That Others Miss
PX5=97EFDAE300756E45ED98042DDDE82A00026BDE06
__________________

Alt 30.05.2008, 13:38   #4
Severin77
 
Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G - Standard

Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G



Und hier noch die log-files:

Das log von Malwarebytes:
Malwarebytes' Anti-Malware 1.14
Datenbank Version: 800

12:58:35 30.05.2008
mbam-log-5-30-2008 (12-58-23).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 154270
Scan Dauer: 1 hour(s), 3 minute(s), 41 second(s)

Infizierte Speicher Prozesse: 1
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 7
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 12
Infizierte Dateien: 23

Infizierte Speicher Prozesse:
C:\WINDOWS\system32\ctfmona.exe (Trojan.Downloader) -> No action taken.

Infizierte Speicher Module:
C:\WINDOWS\system32\gperfppr.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJCtqoL.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJARhIc.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{bc53e890-2693-4906-b6bd-bc2e293079f0} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bc53e890-2693-4906-b6bd-bc2e293079f0} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljjctqol (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{44fdc3b8-208d-4dc8-add4-2a9ba36c3e27} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44fdc3b8-208d-4dc8-add4-2a9ba36c3e27} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4c1e578d (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bc53e890-2693-4906-b6bd-bc2e293079f0} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\ConvertedWallpaper (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmona (Trojan.Downloader) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ljjarhic -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine (Rogue.AdvancedXPFixer) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun (Rogue.AdvancedXPFixer) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\BrowserObjects (Rogue.AdvancedXPFixer) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Packages (Rogue.AdvancedXPFixer) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU (Rogue.AdvancedXPFixer) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM (Rogue.AdvancedXPFixer) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuAllUsers (Rogue.AdvancedXPFixer) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuCurrentUser (Rogue.AdvancedXPFixer) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU\RunOnce (Rogue.AdvancedXPFixer) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM\RunOnce (Rogue.AdvancedXPFixer) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\gperfppr.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJCtqoL.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJARhIc.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094296.scr (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094375.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094391.scr (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094418.scr (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094437.scr (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094452.scr (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094473.scr (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094493.scr (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094511.scr (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094528.scr (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\blackster.scr (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ctfmonb.bmp (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\hgGvUoop.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Balu&Gimli\Lokale Einstellungen\Temp\nyps4.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ctfmona.exe (Trojan.Downloader) -> No action taken.

Und zu guter letzt das log von HJT:
Logfile of Trend Micro HijackThis v2.0.2


[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]



Kannst du damit was anfangen und mir weiterhelfen?

Gruss Severin

Geändert von Sunny (30.05.2008 um 14:49 Uhr)

Alt 30.05.2008, 13:51   #5
Mellosun
 
Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G - Standard

Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G



Hast du Malwarebytes alles löschen lassen?
Laut Bericht nicht, es sei den, du hast erst den Bericht kopiert und dann Löschen lassen? Laut HijackThis denke ich ja....


Mache nochmals den Scan mit HijackThis und und setze vor folgende Einträge ein Hacken:

Code:
ATTFilter
 	O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O23 - Service: Boonty Games - Unknown owner - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe (file missing)
         
Klicke anschließend auf Fix Checked! Rechner sollte neu Starten!

Ist Dir diese Seite bekannt:
Code:
ATTFilter
O14 - IERESET.INF: START_PAGE_URL=http://internet.sunrise.ch/de/hom/default.asp
         
Wenn nicht, kannst du ebenfalls einen hacken davor machen und Fix Checked klicken!

Hast du noch Probleme?
Wie verhält sich der Rechner im Moment?


Alt 30.05.2008, 14:13   #6
Severin77
 
Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G - Standard

Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G



Hi,
du hattest Recht, ich habe das log-file von Malwarebytes vor dem Löschen der Dateien angelegt.

Habe jetzt nach dem Neustart nochmals einen Scan mit HJT gemacht. Hier die log-file:

Logfile of Trend Micro HijackThis v2.0.2


[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]


Ob mein Rechner inzwischen wieder schneller geworden ist, kann ich noch nicht so wirklich beurteilen. Auf jeden Fall ist aber die Warnung auf dem Desktophintergrund verschwunden. Als ich nach dem Scan von Malwarebytes einen Neustart gemacht hab, hat mein AntiVir die von dir genannten Dateien angemahnt. nach dem letzten Neustart kamen die Meldungen jetzt jedenfalls nicht mehr.

Hoffe jetzt einfach, dass ich keine infizierten Dateien mehr hab.

Gruss Micha

Geändert von Sunny (30.05.2008 um 14:52 Uhr)

Alt 30.05.2008, 14:43   #7
Mellosun
 
Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G - Standard

Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G



Also, Dein Log sieht meiner Meinung nach ok aus!

Noch nen Tip:

Räume mal Dein Autostart aus...da muss nicht die halbe Software sterten, die auf Deinem Rechner ist!
Das sind die Autostart Programme:

Code:
ATTFilter
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe "
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [_Alcohol.exe Autorun] C:\Programme\Alcohol Soft\Alcohol 120\_Alcohol.exe /startup
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
         
Wenn du unter Start>Ausführen>msconfig eintippen>Enter>Reiter Systemstart

Ich würde alle Hacken entfernen ausser:

Pestpatrol (wenn du es unbedingt brauchst)
AntiVir

den Rest würde ich alles rauschmeißen...kann man auch durch doppelklick normal Starten, wenn benötigt!
Ist meine meinung und nur ein Tip.....


Gruß Mello

Alt 30.05.2008, 15:21   #8
Severin77
 
Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G - Standard

Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G



Hi,
ich hoffe, du hast Recht und es ist jetzt wieder alles in Ordnung.

Vielen Dank auf jeden Fall für deine Hilfe und deinen Tipp mit dem Autostart.

Schönen Gruss

Severin

Antwort

Themen zu Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G
antivirus, button, clean, computer, desktop, detected, dropper, einstellungen, folge, handel, hijack, hijackthis, icons, links, log-file, micro, neustart, problem, rechner, remover, spyware, temp, trend, vbs/agent.1002, virus, warnung



Ähnliche Themen: Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G


  1. Trojanische Pferde (3) mit AVIRA gefunden: TR/Agent.ccg TR/Dropper.Gen TR/Agent.98816.14.B
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (21)
  2. Kaspersky findet not-a-virus:FraudTool.Win32.Agent.adv in C:\Lokale Einstellungen
    Plagegeister aller Art und deren Bekämpfung - 08.11.2009 (8)
  3. FraudTool.Win32.SpySheriff.H (vf)
    Mülltonne - 15.11.2008 (0)
  4. VBS/Agent.1002 ; TR/FakeAV.AM ; TR/Fakealert.AAF
    Plagegeister aller Art und deren Bekämpfung - 04.10.2008 (11)
  5. Problem:VBS/Agent.1002 und TR/FakeAV.AM
    Plagegeister aller Art und deren Bekämpfung - 21.09.2008 (31)
  6. TR/Fakealert.AAF, VBS/Agent.1002
    Plagegeister aller Art und deren Bekämpfung - 14.09.2008 (1)
  7. VBS/Agent.1002 und TR/Crypt.FKM.Gen auf dem Rechner
    Mülltonne - 11.09.2008 (0)
  8. Trojana VBS/AGENT.1002 hilfe
    Plagegeister aller Art und deren Bekämpfung - 06.09.2008 (10)
  9. "windows warning message", VBS.Agent.1002....?
    Plagegeister aller Art und deren Bekämpfung - 31.08.2008 (18)
  10. AW: joke/BlueScrreen.B, TR/Fakealert.AAF, VBS/Agent.1002
    Mülltonne - 31.08.2008 (0)
  11. joke/BlueScrreen.B, TR/Fakealert.AAF, VBS/Agent.1002
    Plagegeister aller Art und deren Bekämpfung - 31.08.2008 (40)
  12. Viren/Trojaner Problem - TR/FakeScanner.F---TR/Peed.A.661---VBS/Agent.1002
    Log-Analyse und Auswertung - 24.08.2008 (15)
  13. VBS/Agent.1002
    Plagegeister aller Art und deren Bekämpfung - 18.08.2008 (6)
  14. PHISH/FraudTool.SpyLocked.J Gefunden
    Plagegeister aller Art und deren Bekämpfung - 06.04.2008 (9)
  15. DR/FraudTool.SpywareSecure.A
    Log-Analyse und Auswertung - 10.03.2008 (2)
  16. FraudTool.Win32.Noadware.a | nervt den User
    Plagegeister aller Art und deren Bekämpfung - 14.10.2007 (12)
  17. Winfixer, TR/Agent, lsass.exe, usw. Hilfe!!!
    Log-Analyse und Auswertung - 13.11.2005 (9)

Zum Thema Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G - Hi, ich habe seit gestern ein Problem mit einem Virus. Laut meinem AntiVir-Programm handelt es sich um den Skriptvirus VBS/Agent.1002, der sich in den verschiedensten .tt...-Dateien einnistet oder diese selbst - Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G...
Archiv
Du betrachtest: Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.