Trojaner-Board - Hilfe, Trojaner! Logfile inkl!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hilfe, Trojaner! Logfile inkl! (https://www.trojaner-board.de/35990-hilfe-trojaner-logfile-inkl.html)

Hilfe, Trojaner! Logfile inkl!

Hi, ich habe seit gestern wohl einen Virus!Was muss ich tun um diesen loszuwerden?
Antivir findet einen Trojaner unter :c:\windows\system32\pmnll.dll
und sagt es sei ein Pferd der art :tr/vundo.gen

Hier meine Logfiles :
Logfile of HijackThis v1.99.1
Scan saved at 11:54:42, on 03.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\msasvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Dell\MediaDirect\PCMService.exe
C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NetWaiting\netwaiting.exe
C:\Programme\Dell Support\DSAgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Benny\Desktop\downloads\hijackthis\HijackThis.
exe
C:\WINDOWS\system32\taskmgr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&am [...] bd=6061207
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/hws/sb/dell-row/de/side.html?channel=de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/hws/sb/dell-row/de/side.html?channel=de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/hws/sb/dell-row/de/side.html?channel=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&am [...] bd=6061207
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/ig/dell?hl=de&client=dell [...] bd=6061207
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50} - C:\WINDOWS\system32\lnanfpft.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {B45A4029-A1E3-4D35-9761-D4BFAAC0FA83} - C:\WINDOWS\system32\pmnll.dll
O2 - BHO: (no name) - {C0982322-2A6C-4022-92F1-C7CB9F86DCC8} - C:\WINDOWS\system32\fcccaax.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll (file missing)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] NHL Live 2007
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\vbnbrqog.dll",setvm
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ModemOnHold] C:\Programme\NetWaiting\netwaiting.exe
O4 - HKCU\..\Run: [DellSupport] "C:\Programme\Dell Support\DSAgnt.exe" /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Spiele\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Spiele\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{01941117-BA36-4062-BAFF-8
6971E7DE346}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{01941117-BA36-4062-BAFF-8
6971E7DE346}: NameServer = 192.168.2.1
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programme\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: fcccaax - C:\WINDOWS\SYSTEM32\fcccaax.dll
O20 - Winlogon Notify: pmnll - C:\WINDOWS\system32\pmnll.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

Kann jemand helfen?
Wäre super !!!

Also folgendes sieht nicht ganz gesund aus:

C:\WINDOWS\system32\msasvc.exe
und
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe

Hm, und dasheißt dann jetzt?

Zitat:

Zitat von Bugsbenny (Beitrag 252117)

Hm, und dasheißt dann jetzt?

Dass ich es fixen würde, oder willst du es behalten? ;)

mOIn auch

@fixxing_bob mit dem bloßen Fixen der Einträge ist es nicht getan zumal wenn man nicht genau weiß was man da fixt:teufel2: , es ist nicht unbedingt klug sich nur auf die Onlineauswertung von HijackThis zu verlassen und dann zu sagen fix dies oder das.
SCNR

@Bugsbenny

Zitat:

Hm, und dasheißt dann jetzt?

für dich heißt das dein System neu aufzusetzen da bei dir ein Backdoortrojaner aktiv im System unterwegs ist/war

Zitat:

Zitat von Auswertung von Gc Sunny

STATUS: FINISHEDComplete scanning result of "msasvc.exe", received in VirusTotal at 11.02.2006, 18:35:16 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.37 11.02.2006 HEUR/Crypted
Authentium 4.93.8 11.02.2006 no virus found
Avast 4.7.892.0 11.02.2006 no virus found
AVG 386 11.02.2006 no virus found
BitDefender 7.2 11.01.2006 GenPack:Generic.Sdbot.377C91F0
CAT-QuickHeal 8.00 11.02.2006 no virus found
ClamAV devel-20060426 11.02.2006 no virus found
DrWeb 4.33 11.02.2006 Win32.HLLW.MyBot
eTrust-InoculateIT 23.73.43 11.02.2006 no virus found
eTrust-Vet 30.3.3174 11.02.2006 no virus found
Ewido 4.0 11.02.2006 Backdoor.SdBot.aad
Fortinet 2.82.0.0 11.02.2006 W32/SDBot.API!worm
F-Prot 3.16f 11.01.2006 no virus found
F-Prot4 4.2.1.29 11.02.2006 no virus found
Ikarus 0.2.65.0 11.02.2006 Win32.SuspectCrc
Kaspersky 4.0.2.24 11.02.2006 no virus found
McAfee 4886 11.01.2006 no virus found
Microsoft 1.1609 11.02.2006 no virus found
NOD32v2 1.1849 11.02.2006 a variant of IRC/SdBot
Norman 5.80.02 11.02.2006 W32/Malware.BST
Panda 9.0.0.4 11.02.2006 W32/Sdbot.INJ.worm
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.111 11.02.2006 no virus found
UNA 1.83 11.01.2006 Backdoor.SdBot.B379
VBA32 3.11.1 11.01.2006 suspected of Backdoor.xBot.1
VirusBuster 4.3.15:9 11.02.2006 no virus found

Aditional Information
File size: 93696 bytes
MD5: e8f3498ec19c68f3a43b81468a69a381
SHA1: d2f2b64c3d92c937dd374c4c56396dd55e951fac
packers: EXECryptor

Folge dieser Anleitung zum Neuaufsetzen und anschließenden Absicherung des Systems.

MFG

okay, also neuinstallation...
Heißt das danach sind alle daten weg?

Mist.Muss ich dann alle Programme neuistallieren, oder reicht e Programme udn Spiele an den alten Speicherort zu kopieren?

O17 - HKLM\System\CCS\Services\Tcpip\..\{01941117-BA36-4062-BAFF-8
6971E7DE346}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{01941117-BA36-4062-BAFF-8
6971E7DE346}: NameServer = 192.168.2.1

sind meineswissens nach Hijacker...

Ich würde sagen, wenn du eh (laut nochdigger) das system neu aufsetzten sollst kannst du auch ruhig probieren die sachen zu fixen.... kaputt geht ja dann wohl eh nichts mehr ;)

Sichere die dir aber Voher deine liebsten Daten.. (außer .exe datein und nur die sachen von denen du wirklich weißt dass es dein Daten sind)

LG hdrfan

aber an neuinstallation geht kein weg dran vorbei?

Ich probier immer erst alles bevor ich neuaufsetzen sage ;)....

dien Vundo.gen hatte meine Mutter auch... Probier es mal mit Vundofix ( www.atribune.org - Home (direkter downloadlink)) danach sollte er weg sein...

Außerdem kann ich als Virensoftware (die kostenlose 30 tage testversion) AVG anti-spyware 7.5 zum nachprüfen empfeheln( http://www.ewido.net/de/download/)....

und Zum schluss Cleanup... ( CleanUp - temporäre Internetdateien löschen - Temporary Internet Files )

LG hdrfan

okay, ich versuchs gleich und meld mich

Hast du den Dateinamen ses Virus?

sonstwie.dll oder sowas?

LG hdrfan

edit: Öhm *räusper*

Ich sollte vlt. erst mal richtig lesen ^^

Hat sich erledigt...... mit dem namen

was sagt r eigentlich hieru:http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-removal.html

Naja... Lieber erst alles anderes Versuchen ;)

msasvc.exe ist dein trojaner.... such ihn mal und lösche ihn.... und dann den Papierkorb leeren ;)

Zitat:

Zitat von Head (Beitrag 180772)

Hier mal die komplette Beschreibung:

Trojan.Vundo

Virusbeschreibung für: Trojan.Vundo

Infektions Länge: Variiert

Type: Trojanisches Pferd

Erstes auftreten: 20.11.2004

Auch bekannt als: Vundo [McAfee], Vundo.dldr [McAfee]

Betroffene Systeme: Windows 95, Windows 98, Windows NT, Windows 2000, Windows ME, Windows XP, Windows Server 2003

Betroffene Ports:

Kurzbeschreibung: Trojan.Vundo ist ein Komponent eines Adware Programmes welches Pop-Up Werbung herunterladet und anzeigt. Es kann auch beim Besuch einer Internet Seite aus einer SPAM Mail installiert werden.

Trojan.Vundo führt folgende Operationen durch:

• Änderung der Registry:

o Löscht den Wert:

“*MS Setup“

von dem Registry Key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

o Erzeugt den folgenden Wert:

"*WinLogon" = "[Trojan full path file name] ren time:[random number]"

in den Registry Key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

o Erzeugt den folgenden Registry Key:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Active State

o Erzeugt folgenden Wert:

"*[Trojan file name]" = "[Trojan full path file name] rerun"

in den Registry Key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

o Erzeugt folgenden Wert:

"[Default value]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"

in den Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID

o Erzeugt die folgenden Registry Keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}

• Erzeugt eine EXE Datei dessen Name sich aus den folgenden Zeichenketten auseinandersetzen:

abr
av
anti
ac
acc
ad
ap
as
bin
bas
bak
cab
cat
cmd
com
cr
c
drv
db
disk
dll
dns
dos
doc
dvd
eula
exp
fax
font
ftp
hard
iis
img
inet
info
ip
java
kb
key
lib
log
main
ms
mc
mfc
mp3
msvc
nut
odbc
ole
pc
ps
play
ras
reg
run
sys
srv
svr
svc
s
tapi
tcp
task
un
url
util
vb
vga
vss
xml
wave
web
w
win
wms

Nun wird die eben erzeugte Datei in einen der folgenden Ordner gespeichert:

o %Windir%\addins\
o %Windir%\AppPatch\
o %Windir%\assembly\
o %Windir%\Config\
o %Windir%\Cursors\
o %Windir%\Driver Cache\
o %Windir%\Drivers\
o %Windir%\Fonts\
o %Windir%\Help\
o %Windir%\inf\
o %Windir%\java\
o %Windir%\Microsoft.NET\
o %Windir%\msagent\
o %Windir%\Registration\
o %Windir%\repair\
o %Windir%\security\
o %Windir%\ServicePackFiles\
o %Windir%\Speech\
o %Windir%\system\
o %Windir%\system32\
o %Windir%\Tasks\
o %Windir%\Web\
o %Windir%\Windows Update Setup Files\
o %Windir%\Microsoft\

• Versucht eine Datei von der IP Adresse 62.4.84.41 herunter zuladen und auszuführen.

Diese Datei ist ein Adware Modul mit einer eingebetteten DLL Komponente

• Speichert die eingebettete DLL als %Temp%[reversed Trojan file name].dat

• Speist die eingebettete DLL in den Adress Raum einiger gerade laufenden Prozesse, und jeder Prozess Ausgeführt nachdem der Threat angefangen hat zu laufen.

• Erzeugt die folgenden temporären Dateien, welche nicht bösartig sind.

o [reversed Trojan file name].bak1
o [reversed Trojan file name].bak2
o [reversed Trojan file name].ini

• Zeigt Werbung auf dem infizierten Computer an.

• Startet die Adware Komponente neu, sobald der Trojaner erkennt, dass die Adware Komponente gestoppt hat.

• Nachdem ein Neustart erfolgt ist, startet der Trojaner mit einem „rerun“ Parameter. Sobald dies der Fall ist wird folgender Wert hinzugefügt:

"*[Trojan file name]" = "[Trojan full path file name]"
in den Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• Vermindert die Performance des Computers, in dem Vundo den Wert für den verfügbaren Virtuellen Speicher vermindert.
Vundo erreicht dies, indem er einen Bug im Microsoft Internet Explorer ausnutzt (BUG ID 11515)

Technische Beschreibung:

Trojan.Vundo besteht aus vier Teilen.
Der erste Teil besteht aus einem HTML Code welcher einen Bug im Microsoft Internet Explorer ausnützt. (BUG ID 11515)
Der zweite Teil ist ein Dowloader Komponent.
Der dritte Teil ist die eigentliche Adware.
Der vierte Teil ist ein DLL Modul welches die Adware installiert.

Um mehr Informationen zu dem Betreffenden Bug im Microsoft Internet Explorer zu finden, sei auf folgenden Link verwiesen: Microsoft Internet Explorer Malformed IFRAME Remote Buffer Overflow Vulnerability

__________________________________________________

Manuelle Entfernung:

Um die erzeugten Registry Werte wieder zu löschen sind folgende Schritte durchzuführen:

1.) Start > Ausführen

2.) Eingeben des Befehls regedit und bestätigen mit OK

3.) Folgende Werte in den Keys löschen:

"*WinLogon" = "[Trojan full path file name] ren time:[random number]"

in den Registry Key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Active State

"*[Trojan file name]" = "[Trojan full path file name] rerun"

in den Registry Key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

"[Default value]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"

in den Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}

4.) Editor verlassen und Windows neu starten.

Das ist alles was du am Schluss noch machen musst, dann ist er weg ... Viel spaß ;)

LG hdrfan

also habs mit vundofix versucht und erst gedacht es wäre okay, antivir hatte nix gefunden. dann hab ich wie empfohlen avg antispy installiert und lasse das grad durchlaufen. der findet schon ein paar infizierte dateien und beim scannen hat auch antivir sich wieder gemeldet, wobei unerwartet spät...
Aber sobald dann avg durch ist versuch ich nochmal die letzte version, oder?
also datei löschen und udn und

hm, also die von dir genannte exe datei find ich nicht...und nu?

dann musst dus Manuell machen wiw es unter dem Strich im Zitat steht...

is ein bsichen Arbeit, aber deine Daten sind es dir sicherlich wert ;)

Und Die .exe löschen nicht vergessen...

am besten die Systemwiederherstellung deaktiviern... musst ma hier im board suchen findste bistimmt irgendwo.....

Zitat:

Zitat von hdrfan (Beitrag 252177)

Das sind keine Hijacker, sondern Nameservereinträge, die auf die EumexIP verweisen.

auch gut^^ hätte mir die IP mal anschauen müssen...

die exe müsste in C:\WINDOWS\system32 sein wenn nicht auch gut...vergess das mit der Systemwiederherstellung^^

Zitat:

Zitat von hdrfan (Beitrag 252195)

ähm, okay, und du meinst das hilft dann?
Ich tue alles dafür nicht neuinstallieren zu müssen :-)
nur wie soll ich die exe löschen wenn ich sie nicht finde?
systemwiederherstellung vor änderung der registry?

Zitat:

Zitat von Bugsbenny (Beitrag 252179)

aber an neuinstallation geht kein weg dran vorbei?

Nein - da es sich um einen Backdoor handelt, der bei Dir aktiv ist. Du kannst das System physikalisch vom Internet trennen (Ziehen des Verbindungssteckers), und dann noch eine Sicherung Deiner Daten (nur Daten, keine Programm- und Installationsdateien!) vornehmen.

Mit diesem System solltest Du jedoch, solange es nicht neu aufgesetzt ist, nicht mehr online gehen. Ändere umgehend von einem sauberen System (!) aus Deine Passwörter, Zugangsdaten. Beachte zudem:

Anleitung - Neuaufsetzen des Systems / anschliessende Absicherung
Anleitung - Neuaufsetzen des Systems / anschliessende Absicherung

wenn sie nich da ist ist es auch gut... dann wird sie schon weg sein...

lass die systemwiederherstellung wie sie is würde ich sagen.... wenn es nicht klappt kannst du es ja danach immernoch mit ausgeschalteter versuchen ;)

edit:

@mmk: Meine Mutter hatte auch mal diesen trojaner und jetzt ist er weg und macht keine Probleme mehr

Huah, was denn nun?Neuaufsetzen ja oder nein... ???

Muss ich tatsächlich schiss haben, dass was passiert?
Von wegen Zugangsdaten ändern und so?

mach dochmal bei Ausführen cmd und gib netstat ein... wenn die Firewall was sagt vonwegen TCP/IP erlaub es und sag ob viele verbindungen (IP adressen da stehen... mach am besten vorher die "unnötigen Fnster zu und sag auch wie viele Fenster offen sind...bitte nicht IP adressen hinschreiben nur eine zahl ;)

Die Entscheidung kann Dir niemand abnehmen, Du musst sie schon selbst treffen. Man kann nur Empfehlungen abgehen, die auf Abwägungen nach der Analyse der vorliegenden Situation basieren. Ansonsten steht in den beiden genannten Verlinkungen zu trojaner-info.de alles Wissenswerte drin.

ich versuch nochmal alles und melde mich bei problemen wieder!zur zeit läuft noch avg anti spy
dauert wohl noch was und dann versuch ich alles weitere!Danke für eure hilfe!Ich meld mich gleich!

avg läuft noch, bekomme von F-Secure antivirus immer folgende meldung auf den schirm :
Bösartiger Code in Datei c:-\system Volume informatio n\_restore und so weiter
Infektion :Trojan-Downloader.win32.adload.dr
Aktion:Die datei wurde umbenannt

Hat das alles damit zu tun und könnte durch deinen Vorschlag gelöscht werden?Soll ich das erst mal ignorieren?

Hallo Leute,

habe vorhin meine Festplatte mit dem Antivir überprüft und es wurden drei Trojaner gefunden..Zweimal der Tojanische Pferd TR/Obfuscated.Bl und einmal der Trojanische Pferd TR/Dldr.Agent.aii.47
Brauche eure Hilfe..

@ Bugsbenny da muss ich mal schauen ob ich was zu finde....wart mal...

vlt. hilft spybot ( Die Seite von Spybot-S&D! )

allerdings hatte ich es mit Trojan-Downloader.win32.adload.dr auch noch nicht zu tun...

Ich würde erstmal die firewall ganz hoch stellen....

also, hab jetzt alle programme durchlaufen lassen!
Clean up gemacht
vundofix ausgeführt

avg antispyware gemacht
antivir
f-secure internet security
gemacht

soweit alles bei Funden gelöscht und danach nochmal durchlaufen lassen!
Bei den letzten Durchläufen ist nix mehr gefunden worden. kann ich nun davon ausgehen das alles okay ist, oder muss ich trotz allem neuinstallieren?