Trojaner-Board - TR/Vundo.gen und TR/Dldr.Agent.fiv

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Vundo.gen und TR/Dldr.Agent.fiv (https://www.trojaner-board.de/46517-tr-vundo-gen-tr-dldr-agent-fiv.html)

TR/Vundo.gen und TR/Dldr.Agent.fiv

Hallo zusammen,

leider hat es auch mich mit den o.g. Trojanern erwischt. Habe jetzt diverse Threads schon durchgelesen und auch die erforderlichen Sachen gemacht (CCleaner, Vundo Fix, HJT) aber irgendwie werd ich die beiden leider nicht los.

Vundo-Fix findet leider nichts, weder der von Atribune noch der Symantec (auch nicht im Abgesicherten Modus).

HJT findet zwar die dazugehörigen .dlls aber kann diese nicht wirklich fixen.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 19:39:29, on 01.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\BitTorrent_DNA\dna.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\TIM\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: InstaFinder_K - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {CDEFFD4C-B15D-4C79-8500-0ED4CF6AC68B} - C:\WINDOWS\system32\khfefed.dll
O2 - BHO: (no name) - {FB5C1849-8B69-4DD2-9F90-FE12CFF74F1A} - C:\WINDOWS\system32\ssqpo.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\BitTorrent_DNA\dna.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {ABD92D7C-0D95-4A64-A1B1-B84FBC8DEF37} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {ABD92D7C-0D95-4A64-A1B1-B84FBC8DEF37} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: khfefed - C:\WINDOWS\SYSTEM32\khfefed.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Ich hab versucht die

Zitat:

O2 - BHO: (no name) - {CDEFFD4C-B15D-4C79-8500-0ED4CF6AC68B} - C:\WINDOWS\system32\khfefed.dll
O2 - BHO: (no name) - {FB5C1849-8B69-4DD2-9F90-FE12CFF74F1A} - C:\WINDOWS\system32\ssqpo.dll

per HJT zu fixen aber es passiert leider absolut gar nichts.

Lt. anderen Usern sollt man irgendwelche Scriptabschnitte per Avenger checken, aber was genau weiss ich leider auch nicht.
Kann mir evtl. jemand helfen ?!

Vielen Dank im Voraus

Tim

Hallo.

1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

files to delete:

C:\WINDOWS\system32\khfefed.dll

C:\WINDOWS\system32\ssqpo.dll
 

folders to delete:

C:\Programme\INSTAFINK\

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Geh danach mal in den abgesicherten Modus von Windows. Starte Hijackthis und fixe diese Einträge:

Code:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/

O2 - BHO: InstaFinder_K - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll

O2 - BHO: (no name) - {CDEFFD4C-B15D-4C79-8500-0ED4CF6AC68B} - C:\WINDOWS\system32\khfefed.dll

O2 - BHO: (no name) - {FB5C1849-8B69-4DD2-9F90-FE12CFF74F1A} - C:\WINDOWS\system32\ssqpo.dll

O20 - Winlogon Notify: khfefed - C:\WINDOWS\SYSTEM32\khfefed.dll

Starte den Rechner wieder neu (normaler Modus) und erstelle und poste ein neues Logfile.
Führ mal für weitere Analysen folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hallo,

bis jetzt hat alles wunderbar funktionert. Avenger hat die betreffenden Zeilen erfolgreich gelöscht und mit HJT konnte ich dann auch den rest entfernen. Logs sind gespeichert. Allerdings habe ich nun ein schwerwiegendes Problem. Ich habe das Script listing7.cmd ausgeführt und es kam zu einem Systemcrash. Nun zeigt mir der Schirm beim hochfahren an, dass eine Windows Root .dll gelöscht wurde und Windows nicht gestartet werden kann...

Ich versuch das jetzt mal wieder in den Griff zu bekommen.

Danke trotzdem für die Hilfe mit den Trojanern, so wie es auf den ersten Blick aussah, hat alles ohne Probleme funktioniert.

Gruss Tim

Zitat:

Ich habe das Script listing7.cmd ausgeführt und es kam zu einem Systemcrash. Nun zeigt mir der Schirm beim hochfahren an, dass eine Windows Root .dll gelöscht wurde und Windows nicht gestartet werden kann...

Hm...:confused:
Das tut mir leid, aber bisher sind solche Probleme mit der listing7.cmd noch nicht aufgetreten, denn das script löscht keine Windows-Systemdateien.

Welche Datei genau fehlt ihm?

Hmmm merkwürdig. Die Console hat sich geöffnet und ist dann runtergerattert mit irgendwelchen Dateien und hintendran stand nur...wird entfernt. Und so sind die Befehle dann bis zum Crash runtergelaufen.

Nach einem Neustart fährt sich XP nicht mal mehr hoch, ich hänge daran, dass eine Windows Root\System32\xxx.dll fehlt. Genaue Bezeichnung weiss ich leider nicht mehr.

Naja, denke mal es wird kein Problem sein, sowas wieder in Gang zu bekommen. Hauptsache die Viren sind weg :)

Vielen Dank nochmal für deine Hilfe.

edit: hab grad nochmal geschaut: hal.dll ist die Sache, die fehlt.

Also das Script löscht nur unnötige Dateien, aber keine in system32, das wäre zu brisant. Nur im ersten Abschnitt des scripts werden Löschbefehle angwandt:

Code:

REM ------ Tempfiles im Windows-Ordner ------

%systemdrive%

cd\

cd %windir%

rd temp /s /q

md temp

REM ------ Prefetch -------------------------

cd prefetch

del *.* /s /f /q

REM ------ Usertemps ------------------------

cd %temp%

cd..

rd temp /s /q

md temp

REM ------ temp. Internetdateien (user)------

cd..

rd "temporary internet files" /s /q

md "temporary internet files"

REM ------ cookies löschen ---

cd %userprofile%

rd cookies /s /q

md cookies

Es löscht also den Inhalt dieser Ordner:

c:\windows\temp
c:\windows\prefetch
%temp% (also c:\dokumente und einstellungen\<USER>\lokale einstellungen\temp
Ordner für die Temporäre Internetdateien des IE
IE-Cookies-Ordner

Warum der die hal.dll bei dir nicht findet, weiß ich nicht :confused: aber vllt. hilft ja ein chkdsk bei dir in der Wiederherstellungskonsole.

Also der Auszug aus dem Script klingt logisch.

Allerdings steh ich jetzt vor dem Problem, dass ich nicht in die Wiederherstellungskonsole reinkomme. Reparieren von der XP-CD scheint irgendwie auch nicht zu funktionieren. Alles sehr sehr merkwürdig heute. :confused:

Ich schau mal was sich machen lässt mit meinem Kasten und sag dann nochmal bescheid.