Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ad-Aware meldet: Virtumonde ( Dataminer ) (https://www.trojaner-board.de/30244-ad-aware-meldet-virtumonde-dataminer.html)

SiS-Shadowman 28.06.2006 18:42
Ad-Aware meldet: Virtumonde ( Dataminer )
 
wie im titel beschrieben meldet ad-aware dass es den dataminer virtumonde in der registry gefunden hat. zusätzlich habe ich seit einigen tagen meldungen von antivir xp über mehrere gefundene viren ( ich habe mir den namen nicht gemerkt, da mich die meldungen langsam nerven, da das löschen nichts gebracht hat )

leider gaben mir weder der task manager, noch der autostart ( in msconfig ) weitere informationen über gefährliche programme / dlls. auch löschen des reg-eintrages hat nichts gebracht, da er nach jedem neustart wieder vorhanden war.

dieser security task manager ( http://www.neuber.com/taskmanager/deutsch/index.html ) hat mir nun zusätzlich gemeldet, dass die datei rqrrsqr.dll gefährlich wäre, allerdings hat mir die google suche nicht viel geholfen.

ich habe nun ein highjackthis log erstellen lassen:

Logfile of HijackThis v1.99.1
Scan saved at 19:26:32, on 28.6.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
F:\PROGRA~1\Aston\aston.exe
F:\PROGRA~1\Aston\XP\internat.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\RunDLL32.exe
F:\Programme\Trillian\trillian.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WebServer\xampp\apache\bin\apache.exe
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\system32\nvsvc32.exe
D:\WebServer\xampp\apache\bin\apache.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Winamp\winamp.exe
C:\WINNT\explorer.exe
F:\Programme\HighJackThis\HijackThis.exe

F2 - REG:system.ini: Shell=F:\Programme\Aston\Aston.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINNT\system32\rqrrsqr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - Startup: Trillian.lnk = F:\Programme\Trillian\trillian.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00000000-0000-0000-0000-100000000003} - h**p://code.trasferimento.biz/l/829aaade270af4fedce7c937fba27831_35.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143128250125
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DB65A5E-BE70-4A61-A88A-3419303B9FE2}: NameServer = 194.25.2.129
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: rqrrsqr - C:\WINNT\SYSTEM32\rqrrsqr.dll
O20 - Winlogon Notify: winjyp32 - C:\WINNT\SYSTEM32\winjyp32.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - D:\WebServer\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\System32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Prot16w2por - Protection Technology - (no file)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe


ich habe das ganze auch schon online auswerten lassen: http://www.hijackthis.de/logfiles/bd...7fd016f0f.html

darin wird auch die oben genannte dll ( neben anderen ) als böse erkannt.
nun ist die frage wie kann ich diese dll entfernen lassen?
ich möchte ungern ohne fachmännische meinung irgendwelche dateien löschen, mir ist nicht danach windows neuzuinstallieren ;)

ich bedanke mich schon im vorraus für eure hilfe :)

PS: ich benutze wie man dem log entziehen kann die aston-shell. es ist gewollt dass diese nicht auf c installiert ist, also kann man diese prozesse: internat.exe, aston.exe ignorieren

GUA 28.06.2006 18:44
wo ist der rest (kopf) des hjt log-file? :rolleyes:

GUA

SiS-Shadowman 28.06.2006 18:48
tut mir leid, hab ich nicht gesehen dass der fehlte, habe beitrag editiert ( auch die links entfernt )

Mellosun 28.06.2006 19:13
Guten Abend,


lasse doch erstmal die Datein, die Dir als Böse gemeldet werden, bei Virustotal und bei Jotti auswerten und Poste das Ergebnis!


Gruß Mellosun

SiS-Shadowman 28.06.2006 21:00
also VirusTotal ergab diese Meldung:

Complete scanning result of "rqrrsqr.dll", received in VirusTotal at 06.28.2006, 21:40:01 (CET).
Antivirus Version Update Result
AntiVir 6.35.0.19 06.28.2006 ADSPY/Virtumonde.B
Authentium 4.93.8 06.28.2006 no virus found
Avast 4.7.844.0 06.28.2006 no virus found
AVG 386 06.28.2006 Adware Generic.OWI
BitDefender 7.2 06.28.2006 no virus found
CAT-QuickHeal 8.00 06.28.2006 no virus found
ClamAV devel-20060426 06.28.2006 no virus found
DrWeb 4.33 06.27.2006 Trojan.Virtumod
eTrust-InoculateIT 23.72.51 06.27.2006 no virus found
eTrust-Vet 12.6.2279 06.28.2006 Win32/Vundo
Ewido 3.5 06.28.2006 Adware.Virtumonde
Fortinet 2.77.0.0 06.28.2006 Adware/Virtumonde
F-Prot 3.16f 06.28.2006 no virus found
Ikarus 0.2.65.0 06.28.2006 no virus found
Kaspersky 4.0.2.24 06.28.2006 not-a-virus:AdWare.Win32.Virtumonde.cd
McAfee 4795 06.28.2006 Vundo
Microsoft 1.1481 06.28.2006 no virus found
NOD32v2 1.1631 06.28.2006 no virus found
Norman 5.90.21 06.28.2006 no virus found
Panda 9.0.0.4 06.28.2006 Spyware/Virtumonde
Sophos 4.07.0 06.28.2006 no virus found
Symantec 8.0 06.28.2006 no virus found
TheHacker 5.9.8.166 06.28.2006 no virus found
UNA 1.83 06.28.2006 no virus found
VBA32 3.11.0 06.27.2006 no virus found
VirusBuster 4.3.7:9 06.28.2006 no virus found

Aditional Information
File size: 39437 bytes
MD5: 02494be3dce8c6c49c34437d606b6bda
SHA1: 47e4c7b745e1a4c81fc21e84b7173b069ff86e53

Datei: rqrrsqr.dll
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir Adware-Spyware/Virtumonde.B adware gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Generic.OWI gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Virtumod gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/Virtumonde gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Virtumonde.cd gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 AdWare.Win32.Virtumonde.cd gefunden

ich tippe mal darauf dass die datei wirklich böse ist, doch was muss ich genau machen um sie zu entfernen? ich werde mal per google suchen, aber vielleicht könnt ihr mir hier auch helfen :)

irrlicht 28.06.2006 22:05
Hallo SIS-Shadowman,
Zitat:
ich werde mal per google suchen, aber vielleicht könnt ihr mir hier auch helfen
Das ist eine gute Idee...;)
Alternativ kannst du auch die Bordsuche verwenden...;)
In beiden Fällen wirst du fündig werden...:aplaus:
Ist aber auch ein klasse Suchwort dieses
Zitat:
Virtumonde
gelle ?:daumenhoc
Irrlicht

itzcoatl 09.06.2007 22:48
eraseme.exe

DMM23 23.10.2008 09:39
Grüßt euch,

auf die gefahr hin, dass ich hier wiederholte fragen stelle.
was genau bewirkt Virtumonde?
Die boardsuche habe ichs chon gefunden und google hilft auch nicht.
Dort erfahre ich nur das ihn jemand gefunden hat und wie man ihn entfernt, aber nicht was er genau verursacht oder wie er bevorzugt auf den computer gelangt.

MfG


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131