| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner vundo.gen.4.5/4.3Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
02.12.2008, 13:55
| #1 |
  |  Trojaner vundo.gen.4.5/4.3 Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\wauclt.exe
C:\WINDOWS\system32\jrdstp.dll
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Files to delete:
C:\Programme\AskBarDis\bar\bin\askBar.dll
C:\WINDOWS\system32\wauclt.exe
C:\WINDOWS\system32\jrdstp.dll
Folders to delete:
C:\Programme\AskBarDis
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Generic Host] wauclt.exe
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
02.12.2008, 17:16
| #2 |
 | Trojaner vundo.gen.4.5/4.3 Hi danke für die schnelle Antwort(en)
__________________Sorry nochmal das ich den Log nicht genau überflogen habe... kann die Daten aber scheinbar nicht mehr editieren. Hoffe kommt nicht nochmal vor. Ok zum Virustool erstmal... die Datei waulct.dll konnte ich in System32 nicht finden!? Die andere schon Analyse von jrdstp.dll: (Hmm ich weiß gerade nicht was HASH bedeutet aber ich poste hier einfach mal alles dazu) MD5: f2057ce02973cc9c28009b1e96491cc3 First received: 2008.12.01 09:36:24 (CET) Datum 2008.12.02 02:04:42 (CET) [<1D] Ergebnisse 12/37 Permalink: analisis/528cb8a3541854ddf0ff888d0e8560da Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.12.2.0 2008.12.01 - AntiVir 7.9.0.36 2008.12.01 - Authentium 5.1.0.4 2008.12.02 - Avast 4.8.1281.0 2008.12.01 - AVG 8.0.0.199 2008.12.02 Vundo.BI BitDefender 7.2 2008.12.02 Trojan.Vundo.Gen.4 CAT-QuickHeal 10.00 2008.12.01 - ClamAV 0.94.1 2008.12.02 - DrWeb 4.44.0.09170 2008.12.02 Trojan.Juan.60 eSafe 7.0.17.0 2008.11.30 Suspicious File eTrust-Vet 31.6.6236 2008.12.01 - Ewido 4.0 2008.12.01 - F-Prot 4.4.4.56 2008.12.01 - F-Secure 8.0.14332.0 2008.12.02 Trojan.Win32.Monderd.gen Fortinet 3.117.0.0 2008.12.01 - GData 19 2008.12.02 Trojan.Vundo.Gen.4 Ikarus T3.1.1.45.0 2008.12.01 - K7AntiVirus 7.10.539 2008.12.01 - Kaspersky 7.0.0.125 2008.12.02 Trojan.Win32.Monderd.gen McAfee 5451 2008.12.01 - McAfee+Artemis 5451 2008.12.01 - Microsoft 1.4104 2008.12.02 Trojan:Win32/Vundo.gen!AA NOD32 3655 2008.12.01 a variant of Win32/Adware.Virtumonde.NDK Norman 5.80.02 2008.12.01 - Panda 9.0.0.4 2008.12.02 - PCTools 4.4.2.0 2008.12.01 - Prevx1 V2 2008.12.02 Fraudulent Security Program Rising 21.06.02.00 2008.12.01 - SecureWeb-Gateway 6.7.6 2008.12.01 - Sophos 4.36.0 2008.12.02 - Sunbelt 3.1.1832.2 2008.12.01 - Symantec 10 2008.12.02 Packed.Generic.202 TheHacker 6.3.1.2.171 2008.12.02 - TrendMicro 8.700.0.1004 2008.12.01 PAK_Generic.001 VBA32 3.12.8.9 2008.12.01 - ViRobot 2008.12.1.1494 2008.12.01 - VirusBuster 4.5.11.0 2008.12.01 - weitere Informationen File size: 106496 bytes MD5...: f2057ce02973cc9c28009b1e96491cc3 SHA1..: 929936c57f7828cf403cd5ebbbe07e4766eb6e4c SHA256: 58937edcac79643fc035251b7c361f6f9e8452c5ad1607dc5ab2c96660cd43f1 SHA512: c76b6b9b5d06da8e0411066afc667d6ea4170462e3be35400bb08881cee21a58 aa23252112dfada8c6c5fc4476a6f01a1dd340972be69954bcfc09e29ace2f66 ssdeep: 1536:ZW6My4BaXOgIMG49Aru6SSuNbBhxtmbwNzEO7kSH9oOoi8vzBEzj+foNz1r /wFQB:ZWPZaHmbz+9gi+zy5NBr/RpqJLwyHIu PEiD..: - TrID..: File type identification Win32 Executable Generic (38.5%) Win32 Dynamic Link Library (generic) (34.2%) Clipper DOS Executable (9.1%) Generic Win/DOS Executable (9.0%) DOS Executable Generic (9.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10001551 timedatestamp.....: 0x1294fcd1 (Sun Nov 18 06:18:57 1979) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xa000 0x9400 7.96 721545129f9ba7c745da711a394704f4 .data 0xb000 0x1000 0x200 3.40 53798c3f16a69ff431546e7531d1b474 .rdata 0xc000 0x38000 0x10400 7.99 72c3f29cad4001a171f8b6ba6fb3c443 .rsrc 0x44000 0x1000 0x200 1.66 6c1a6d650543eaf4b18d527f058a1b88 ( 3 imports ) > USER32.dll: MessageBoxA > KERNEL32.dll: ExitProcess, GetSystemTimeAsFileTime, CloseHandle, GetStartupInfoA, GetModuleHandleA > ADVAPI32.dll: RegQueryValueA, RegCloseKey, RegOpenKeyExA Werde nun den Schritt mit dem Avenger tun So Avenger spuckt das aus: Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\Programme\AskBarDis\bar\bin\askBar.dll" deleted successfully. File "C:\WINDOWS\system32\wauclt.exe" deleted successfully. File "C:\WINDOWS\system32\jrdstp.dll" deleted successfully. Folder "C:\Programme\AskBarDis" deleted successfully. Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully. Completed script processing. ******************* Finished! Terminate. Geändert von Jackmate (02.12.2008 um 17:23 Uhr) |
|
02.12.2008, 19:13
| #3 |
| | Trojaner vundo.gen.4.5/4.3 Hi,
__________________bitte noch den Rest abarbeiten... (MAM/Combofix). Meistens zieht vundo noch einen ganzen Stall von Viechern hinter sich her... chris
__________________ |
|
02.12.2008, 21:06
| #4 |
| | Trojaner vundo.gen.4.5/4.3 Ja mach ich noch aber leider hat das mit Malware schon über 2h gedauert deshalb erst jetzt wieder meine Meldung... und für Combofix hab ich leider erst morgen Abend Zeit deshalb sry für die langsame Antworten. Also das kam bei Malware raus (log) Infizierte Dateien: 12 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\geBsqPGa.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\wvUllLCu.dll (Trojan.Vundo.H) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{126b04a8-5966-44ec-9a20-2998ae785f04} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{126b04a8-5966-44ec-9a20-2998ae785f04} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvulllcu (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d3cf2824-15b6-4337-8944-53451c680dcf} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{d3cf2824-15b6-4337-8944-53451c680dcf} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Security Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\gebsqpga -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\gebsqpga -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\jrdstp.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wvUllLCu.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\geBsqPGa.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\aGPqsBeg.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\aGPqsBeg.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\paxxrrdx.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\xdrrxxap.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\p***** a*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IDG3Y5M5\kb600179[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{206176F4-29BD-41D6-BDB5-06615E74A01E}\RP113\A0033919.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{206176F4-29BD-41D6-BDB5-06615E74A01E}\RP113\A0033920.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{206176F4-29BD-41D6-BDB5-06615E74A01E}\RP113\A0033921.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully. |
|
03.12.2008, 07:47
| #5 |
| | Trojaner vundo.gen.4.5/4.3 Hi, auch die Systemwiederherstellung ist verseucht, die bereinigen wir zum Schluß... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
03.12.2008, 20:59
| #6 |
| | Trojaner vundo.gen.4.5/4.3 Ok Danke für die Hilfe ^^ Aber bin gerade erst nach Hause gekommen und zum Umfallen kaputt, werde erst morgen Abend den letzten Scan machen. Aber hätte da eine Frage wie ansteckend der Trojaner ist, kenne mich da aboslut nicht aus: Wird er z.B. auf eine Externe Festplatte übertragen wenn ich eine anschließe? |
|
04.12.2008, 07:50
| #7 |
| | Trojaner vundo.gen.4.5/4.3 Hi, der eigentlich nicht... Was treibt combofix bzw. dessen Log bitte posten... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu Trojaner vundo.gen.4.5/4.3 |
| 1.exe, adobe, antivir, ask toolbar, avira, browser, dsl, einstellungen, explorer, generic, generic host, hijackthis, hängt, internet, internet explorer, jusched.exe, launch, mehrere, mozilla, nvidia, plug-in, programme, rundll, security, software, spyware, starten, system, trojaner, windows, windows xp, windows xp sp3, xp sp3 |
Hybrid-Darstellung
