|
Vundo.Gen + Crypt.XPACK.Gen Befall Habe mir gestern Trojaner eingefangen und weiß jetzt nicht was ich tun soll. Ähnliche Themen habe ich bereits gelesen, bin aber daraus nicht wirklich schlau geworden. Bitte um Hilfe! Welche Daten oder Logs werden benötigt um das Problem zu beheben? |
Hallo und Herzlich Willkommen Bitte erstelle als erstes ein HIjackthis Logfile (Link ist in meiner Signatur):daumenhoc |
Vielen Dank für die rasche Antwort! Code: Logfile of Trend Micro HijackThis v2.0.2 |
Also bitte fixe als erstes folgende Einträge: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_AT&c=71&bd=Pavilion &pf=desktop R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_AT&c=71&bd=Pavilion &pf=desktop O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\GRUBWI~1\AppData\Local\Temp\ssqOGwTl.dll,#1 O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\tuvTllLD.dll,#1 O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU\Run IMVU.lnk (file missing) O21 - SSODL: wdpoefan - {59BEB489-71DA-4FE2-A30E-50A0FCD61F1F} - C:\Windows\wdpoefan.dll O21 - SSODL: vadokmxt - {97C1DBDA-143E-42BF-A45A-45506EE45C51} - C:\Windows\vadokmxt.dll Lass bitte folgende Dateien hier online scanne und poste den Report: C:\Windows\dpevflbg.dll C:\Windows\system32\tuvTllLD.dll,#1 C:\Users\GRUBWI~1\AppData\Local\Temp\ssqOGwTl.dll,#1 C:\Windows\wdpoefan.dll C:\Windows\vadokmxt.dll Danach bitte auch neues Logfile posten, danke:daumenhoc |
Die Einträge hab ich gefixt und die angegebenen Dateien gescannt: Datei dpevflbg.dll empfangen 2008.04.20 20:51:48 (CET) Status: Beendet Ergebnis: 9/32 (28.13%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.19.0 2008.04.18 - AntiVir 7.8.0.8 2008.04.20 ADSPY/AdSpy.Gen Authentium 4.93.8 2008.04.20 - Avast 4.8.1169.0 2008.04.20 - AVG 7.5.0.516 2008.04.20 Downloader.Zlob.SE BitDefender 7.2 2008.04.20 - CAT-QuickHeal 9.50 2008.04.19 AdWare.Vapsup.dvz (Not a Virus) ClamAV 0.92.1 2008.04.20 - DrWeb 4.44.0.09170 2008.04.20 - eSafe 7.0.15.0 2008.04.17 - eTrust-Vet 31.3.5714 2008.04.19 Win32/Pripecs!generic Ewido 4.0 2008.04.20 - F-Prot 4.4.2.54 2008.04.20 - F-Secure 6.70.13260.0 2008.04.20 - FileAdvisor 1 2008.04.20 - Fortinet 3.14.0.0 2008.04.20 - Ikarus T3.1.1.26.0 2008.04.20 AdWare.NetAdware.CW Kaspersky 7.0.0.125 2008.04.20 - McAfee 5277 2008.04.18 - Microsoft 1.3408 2008.04.20 - NOD32v2 3041 2008.04.19 - Norman 5.80.02 2008.04.18 - Panda 9.0.0.4 2008.04.20 - Prevx1 V2 2008.04.20 Downloader.Zlob Rising 20.40.62.00 2008.04.20 AdWare.Win32.Agent.zya Sophos 4.28.0 2008.04.20 - Sunbelt 3.0.1056.0 2008.04.17 - Symantec 10 2008.04.20 Downloader.Zlob!gen.2 TheHacker 6.2.92.285 2008.04.19 - VBA32 3.12.6.4 2008.04.16 - VirusBuster 4.3.26:9 2008.04.20 - Webwasher-Gateway 6.6.2 2008.04.20 Ad-Spyware.AdSpy.Gen weitere Informationen File size: 155648 bytes MD5...: ca29847dc4722d79847cb3843ac30318 SHA1..: be20c0e536f0f2ca8f2a5c897cd33722c59506da SHA256: 6655785df4e0ad22b3c2ffbf63473cf913038795fd8409d5d1587cfeb5e6733f SHA512: 7459099f8f172910c43050c012024f2ce5500e1d287fc430c9b9aaa8f452a98e 580d9aba059dd806b70bd24b74815f18a917e0d47c340d2c8a2515b4c6439b6b PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1000ac61 timedatestamp.....: 0x4809c6a0 (Sat Apr 19 10:17:04 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x16539 0x17000 6.57 514c7ba15369ff7cf890fc0c8ca78915 .rdata 0x18000 0x66a5 0x7000 5.05 72fb97b9b10ca8250100b2342c66bc1f .data 0x1f000 0x3860 0x2000 3.64 f11805ebdc0ad2dfaae98ab283c8c38b .rsrc 0x23000 0x1d20 0x2000 4.32 c73ab0b3e6b77cb5b8aa2acc3e890b31 .reloc 0x25000 0x2512 0x3000 4.00 9843e06caa8a987be1efc576f77ffdcc ( 6 imports ) > COMCTL32.dll: ImageList_SetBkColor, ImageList_Destroy, ImageList_Create, ImageList_ReplaceIcon > KERNEL32.dll: GetLastError, lstrcmpiW, GetModuleFileNameW, InterlockedIncrement, FreeLibrary, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, GetModuleHandleW, DisableThreadLibraryCalls, FlushInstructionCache, GetCurrentProcess, DeleteCriticalSection, SetLastError, FlushFileBuffers, CloseHandle, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, RaiseException, lstrlenW, InterlockedDecrement, LoadLibraryW, GetProcAddress, GetCurrentThreadId, GetStringTypeW, GetStringTypeA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetVersionExA, InterlockedCompareExchange, HeapFree, GetProcessHeap, HeapAlloc, LoadLibraryA, IsProcessorFeaturePresent, VirtualFree, VirtualAlloc, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, LocalFree, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, HeapReAlloc, GetCommandLineA, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, HeapDestroy, HeapCreate, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, GetCPInfo, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, Sleep, HeapSize, SetHandleCount, GetFileType, GetStartupInfoA > USER32.dll: GetWindowLongW, ShowWindow, CreateWindowExW, UnregisterClassA, LoadCursorW, GetClassInfoExW, GetClientRect, CharNextW, GetSysColor, CallWindowProcW, RegisterClassExW, SetWindowLongW, DefWindowProcW, DestroyWindow, IsWindow, SendMessageW > ADVAPI32.dll: RegDeleteValueW, RegCloseKey, RegCreateKeyExW, RegOpenKeyExW, RegEnumKeyExW, RegQueryInfoKeyW, RegSetValueExW, RegDeleteKeyW > ole32.dll: CoTaskMemFree, CoCreateInstance, StringFromGUID2, CoTaskMemAlloc, CoTaskMemRealloc > OLEAUT32.dll: -, -, -, -, -, -, -, -, - ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=E6AA490D00DDAB21600302484E1720008551A8D7 Datei tuvTllLD.dll empfangen 2008.04.20 20:56:47 (CET) Status: Beendet Ergebnis: 7/32 (21.88%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.19.0 2008.04.18 - AntiVir 7.8.0.8 2008.04.20 - Authentium 4.93.8 2008.04.20 - Avast 4.8.1169.0 2008.04.20 - AVG 7.5.0.516 2008.04.20 - BitDefender 7.2 2008.04.20 - CAT-QuickHeal 9.50 2008.04.19 - ClamAV 0.92.1 2008.04.20 - DrWeb 4.44.0.09170 2008.04.20 - eSafe 7.0.15.0 2008.04.17 - eTrust-Vet 31.3.5714 2008.04.19 - Ewido 4.0 2008.04.20 - F-Prot 4.4.2.54 2008.04.20 - F-Secure 6.70.13260.0 2008.04.20 - FileAdvisor 1 2008.04.20 - Fortinet 3.14.0.0 2008.04.20 - Ikarus T3.1.1.26.0 2008.04.20 Trojan.Win32.Vundo.D Kaspersky 7.0.0.125 2008.04.20 not-a-virus:AdWare.Win32.Virtumonde.pmr McAfee 5277 2008.04.18 Vundo Microsoft 1.3408 2008.04.20 Trojan:Win32/Vundo.gen!D NOD32v2 3041 2008.04.19 - Norman 5.80.02 2008.04.18 - Panda 9.0.0.4 2008.04.20 - Prevx1 V2 2008.04.20 Trojan.Vundo Rising 20.40.62.00 2008.04.20 Trojan.Win32.VUNDO.bct Sophos 4.28.0 2008.04.20 Mal/Generic-A Sunbelt 3.0.1056.0 2008.04.17 - Symantec 10 2008.04.20 - TheHacker 6.2.92.285 2008.04.19 - VBA32 3.12.6.4 2008.04.16 - VirusBuster 4.3.26:9 2008.04.20 - Webwasher-Gateway 6.6.2 2008.04.20 - weitere Informationen File size: 38400 bytes MD5...: 17429758849bb0b25b4d3058a6650716 SHA1..: 75c4aea9b998fc66eef833447e0f0d8d87f95371 SHA256: cab40b27e0b26f0a844cb33a89cb58912ced5ecb25d860cd0c8b8c656113e3b8 SHA512: 5ee17c61ff738f55e1f4de16a479a890c74e073e715029d998f409bbf5a077e5 fb835042c5aac2647ac819ee74e616572d717d92767598b1239a6acec9cf9e25 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100051a8 timedatestamp.....: 0x51177b30 (Sun Feb 10 10:49:20 2013) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1e000 0x4600 7.24 52d72ddae97ee3816d0a1dea3ef7acdd .data 0x1f000 0x5000 0x4200 7.97 108cba9202cdd8cc0012cdea5eb524ce .rdata 0x24000 0x1000 0x400 5.84 fc23e9c096e341bb54f1cfd2d8ed4bd4 .idata 0x25000 0x1000 0x600 3.18 557d9fc65551684114193a3f82c76b16 ( 3 imports ) > user32.dll: ShowWindow, ShowOwnedPopups, ShowCursor, OffsetRect, LoadIconA, LoadAcceleratorsA, GetMenu, DrawCaption, CreateCursor, CopyImage > kernel32.dll: TlsSetValue, lstrcatA, VirtualAlloc, UnmapViewOfFile, GetVersionExA, GetFileSize, GetDateFormatA, ExitThread, lstrcpyA > oleaut32.dll: OleIconToCursor, OleLoadPicture, OleLoadPicturePath, RevokeActiveObject, SafeArrayAllocData, SafeArrayDestroy, VarBstrCat, VarBstrCmp, ClearCustData ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=95FD8B9C003BFDA39618003F70B944005C1EDEA3 Datei ssqOGwTl.dll empfangen 2008.04.20 21:00:18 (CET) Status: Beendet Ergebnis: 7/32 (21.88%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.19.0 2008.04.18 - AntiVir 7.8.0.8 2008.04.20 - Authentium 4.93.8 2008.04.20 - Avast 4.8.1169.0 2008.04.20 - AVG 7.5.0.516 2008.04.20 - BitDefender 7.2 2008.04.20 - CAT-QuickHeal 9.50 2008.04.19 - ClamAV 0.92.1 2008.04.20 - DrWeb 4.44.0.09170 2008.04.20 - eSafe 7.0.15.0 2008.04.17 - eTrust-Vet 31.3.5714 2008.04.19 - Ewido 4.0 2008.04.20 - F-Prot 4.4.2.54 2008.04.20 - F-Secure 6.70.13260.0 2008.04.20 - FileAdvisor 1 2008.04.20 - Fortinet 3.14.0.0 2008.04.20 - Ikarus T3.1.1.26 2008.04.20 Trojan.Win32.Vundo.D Kaspersky 7.0.0.125 2008.04.20 not-a-virus:AdWare.Win32.Virtumonde.pmr McAfee 5277 2008.04.18 Vundo Microsoft 1.3408 2008.04.20 Trojan:Win32/Vundo.gen!D NOD32v2 3041 2008.04.19 - Norman 5.80.02 2008.04.18 - Panda 9.0.0.4 2008.04.20 - Prevx1 V2 2008.04.20 Trojan.Vundo Rising 20.40.62.00 2008.04.20 Trojan.Win32.VUNDO.bct Sophos 4.28.0 2008.04.20 Mal/Generic-A Sunbelt 3.0.1056.0 2008.04.17 - Symantec 10 2008.04.20 - TheHacker 6.2.92.285 2008.04.19 - VBA32 3.12.6.4 2008.04.16 - VirusBuster 4.3.26:9 2008.04.20 - Webwasher-Gateway 6.6.2 2008.04.20 - weitere Informationen File size: 38400 bytes MD5...: 17429758849bb0b25b4d3058a6650716 SHA1..: 75c4aea9b998fc66eef833447e0f0d8d87f95371 SHA256: cab40b27e0b26f0a844cb33a89cb58912ced5ecb25d860cd0c8b8c656113e3b8 SHA512: 5ee17c61ff738f55e1f4de16a479a890c74e073e715029d998f409bbf5a077e5 fb835042c5aac2647ac819ee74e616572d717d92767598b1239a6acec9cf9e25 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100051a8 timedatestamp.....: 0x51177b30 (Sun Feb 10 10:49:20 2013) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1e000 0x4600 7.24 52d72ddae97ee3816d0a1dea3ef7acdd .data 0x1f000 0x5000 0x4200 7.97 108cba9202cdd8cc0012cdea5eb524ce .rdata 0x24000 0x1000 0x400 5.84 fc23e9c096e341bb54f1cfd2d8ed4bd4 .idata 0x25000 0x1000 0x600 3.18 557d9fc65551684114193a3f82c76b16 ( 3 imports ) > user32.dll: ShowWindow, ShowOwnedPopups, ShowCursor, OffsetRect, LoadIconA, LoadAcceleratorsA, GetMenu, DrawCaption, CreateCursor, CopyImage > kernel32.dll: TlsSetValue, lstrcatA, VirtualAlloc, UnmapViewOfFile, GetVersionExA, GetFileSize, GetDateFormatA, ExitThread, lstrcpyA > oleaut32.dll: OleIconToCursor, OleLoadPicture, OleLoadPicturePath, RevokeActiveObject, SafeArrayAllocData, SafeArrayDestroy, VarBstrCat, VarBstrCmp, ClearCustData ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=95FD8B9C003BFDA39618003F70B944005C1EDEA3 Datei wdpoefan.dll empfangen 2008.04.20 21:06:54 (CET) Status: Beendet Ergebnis: 9/30 (30%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.19.0 2008.04.18 - AntiVir 7.8.0.8 2008.04.20 ADSPY/Agent.PB Authentium 4.93.8 2008.04.20 - Avast 4.8.1169.0 2008.04.20 Win32:Agent-LTS AVG 7.5.0.516 2008.04.20 Downloader.Adload.FR BitDefender 7.2 2008.04.20 - CAT-QuickHeal 9.50 2008.04.19 - ClamAV 0.92.1 2008.04.20 - DrWeb 4.44.0.09170 2008.04.20 - eSafe 7.0.15.0 2008.04.17 - eTrust-Vet 31.3.5714 2008.04.19 Win32/Pripecs!generic Ewido 4.0 2008.04.20 - F-Prot 4.4.2.54 2008.04.20 - FileAdvisor 1 2008.04.20 - Fortinet 3.14.0.0 2008.04.20 - Ikarus T3.1.1.26 2008.04.20 AdWare.Agent.PB McAfee 5277 2008.04.18 - Microsoft 1.3408 2008.04.20 Trojan:Win32/Zlob.AI NOD32v2 3041 2008.04.19 - Norman 5.80.02 2008.04.18 - Panda 9.0.0.4 2008.04.20 - Prevx1 V2 2008.04.20 Downloader.Adload.EC Rising 20.40.62.00 2008.04.20 - Sophos 4.28.0 2008.04.20 - Sunbelt 3.0.1056.0 2008.04.17 - Symantec 10 2008.04.20 - TheHacker 6.2.92.285 2008.04.19 - VBA32 3.12.6.4 2008.04.16 suspected of Downloader.Zlob.5 (paranoid heuristics) VirusBuster 4.3.26:9 2008.04.20 - Webwasher-Gateway 6.6.2 2008.04.20 Ad-Spyware.Agent.PB weitere Informationen File size: 233472 bytes MD5...: 0a02e3b6c3db3c9b5778aeff81e554eb SHA1..: c391b6eecac5c8a443f4c2a2447a24834e9d5c89 SHA256: 8a43e3885970fcabb5aad755c29368875d638aa3f0e43cea66776823f04607cb SHA512: 27b87ef44f4cb5ca56488b6f65dd14805fa6db8fbc988c9ae41e842531abfa6e c3ff3054b38f2c603de02b5ac39a9b8dcc5a4a7fd3310fcdfb67a6b74e6d35ba PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100107da timedatestamp.....: 0x4809c39d (Sat Apr 19 10:04:13 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2c534 0x2d000 6.56 fbf0c97aae0b2f70a0c9c72fb35b8bab .data 0x2e000 0x3160 0x2000 2.42 e99df4495b60c72633a00cf3388cb53f .rsrc 0x32000 0x51e0 0x6000 4.10 d82217261329aefffa92eba4faa7e2bd .reloc 0x38000 0x2362 0x3000 3.93 653624419784c84abbf5f150fadb74f4 ( 5 imports ) > KERNEL32.dll: CreateDirectoryW, MoveFileW, WaitForSingleObject, Sleep, FindFirstFileW, FindClose, GetProcAddress, LoadLibraryW, GetLastError, MultiByteToWideChar, CloseHandle, SetFilePointer, SystemTimeToFileTime, GetFileAttributesW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, SetFileTime, SetEndOfFile, WriteFile, CreateFileW, lstrcpynW, GetSystemTime, GetLocaleInfoA, FindNextFileW, FileTimeToSystemTime, FileTimeToLocalFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, ExitProcess, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetTimeZoneInformation, HeapSize, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, LoadLibraryA, InitializeCriticalSection, SetStdHandle, FlushFileBuffers, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, CreateFileA > USER32.dll: MessageBoxW, GetDesktopWindow, GetWindow > ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW > ole32.dll: CoInitialize > SHLWAPI.dll: SHDeleteKeyW ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=856B8602005F1778902403691417C0005C6DA06D Datei vadokmxt.dll empfangen 2008.04.20 21:28:45 (CET) Status: Beendet Ergebnis: 10/32 (31.25%) AhnLab-V3 2008.4.19.0 2008.04.18 - AntiVir 7.8.0.8 2008.04.20 ADSPY/AdSpy.Gen Authentium 4.93.8 2008.04.20 - Avast 4.8.1169.0 2008.04.20 - AVG 7.5.0.516 2008.04.20 Downloader.Adload.FS BitDefender 7.2 2008.04.20 - CAT-QuickHeal 9.50 2008.04.19 - ClamAV 0.92.1 2008.04.20 - DrWeb 4.44.0.09170 2008.04.20 - eSafe 7.0.15.0 2008.04.17 - eTrust-Vet 31.3.5714 2008.04.19 Win32/Pripecs!generic Ewido 4.0 2008.04.20 - F-Prot 4.4.2.54 2008.04.20 - F-Secure 6.70.13260.0 2008.04.20 - FileAdvisor 1 2008.04.20 - Fortinet 3.14.0.0 2008.04.20 - Ikarus T3.1.1.26.0 2008.04.20 AdWare.NetAdware.S Kaspersky 7.0.0.125 2008.04.20 - McAfee 5277 2008.04.18 - Microsoft 1.3408 2008.04.20 Trojan:Win32/Zlob.AI NOD32v2 3041 2008.04.19 - Norman 5.80.02 2008.04.18 - Panda 9.0.0.4 2008.04.20 - Prevx1 V2 2008.04.20 Trojan.Vundo Rising 20.40.62.00 2008.04.20 Trojan.DL.Win32.QQHelper.bdp Sophos 4.28.0 2008.04.20 - Sunbelt 3.0.1056.0 2008.04.17 - Symantec 10 2008.04.20 Downloader.Zlob!gen.2 TheHacker 6.2.92.285 2008.04.19 - VBA32 3.12.6.4 2008.04.16 suspected of Downloader.Zlob.8 VirusBuster 4.3.26:9 2008.04.20 - Webwasher-Gateway 6.6.2 2008.04.20 Ad-Spyware.AdSpy.Gen weitere Informationen File size: 200704 bytes MD5...: 49d148c08fa97be80849308a4fd71375 SHA1..: 7416535b02c47e50d287e79ae3b7d65a5056cb23 SHA256: c9ac052815a1abbfaac9eef594c27ebbb2c3e93f1c024b4824323da89af8b4cd SHA512: e37051afcc98d5a10fabb56bf02cff812176d84d0b8fef6a9c0fa27faaec3a39 835e4218a61a75bf402c438e6e1e927c1b583ca5dac8fa91b0bb50955be6fae2 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1000d50a timedatestamp.....: 0x4809c195 (Sat Apr 19 09:55:33 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x290ee 0x2a000 6.45 9db567b6ce7d3bb747c777f27ef17229 .data 0x2b000 0x2e84 0x2000 1.57 f4c056b9154b258f550051ded7e6ca8d .rsrc 0x2e000 0x10 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .reloc 0x2f000 0x23ce 0x3000 3.89 e0638daa5ef77f80e973c58ee347dda1 ( 4 imports ) > KERNEL32.dll: Sleep, GetLastError, CloseHandle, GetSystemTime, CreateEventW, WaitForSingleObject, MultiByteToWideChar, LoadLibraryW, SystemTimeToFileTime, GetFileAttributesW, CreateFileW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, CreateDirectoryW, WriteFile, SetFileTime, GetProcAddress, FindClose, SetFilePointer, FindFirstFileW, SetEndOfFile, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, ExitProcess, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, HeapSize, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FlushFileBuffers, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, LoadLibraryA, InitializeCriticalSection, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, CreateFileA > ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW > ole32.dll: CoInitialize > SHLWAPI.dll: SHDeleteKeyW ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=E3C799B100227EF2108703DEBDA201009575193F |
Neues Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Also bitte lade dir KillBox (in meiner Signatur) und lösche die infizierten Dateien "on reboot":daumenhoc Lade dir auch dieses Tool und lasse es laufen. Dann bitte noch diese Einträge fixen: O3 - Toolbar: dpevflbg - {87F195A2-E583-4FE1-9649-3333E6FE1A61} - C:\Windows\dpevflbg.dll O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\GRUBWI~1\AppData\Local\Temp\ssqOGwTl.dll,#1 Nun auch nochmals ein neues Hijackthis Logfile:daumenhoc |
Welche Dateien sind die infizierten? Die hier?: C:\Windows\dpevflbg.dll C:\Windows\system32\tuvTllLD.dll,#1 C:\Users\GRUBWI~1\AppData\Local\Temp\ssqOGwTl.dll, #1 C:\Windows\wdpoefan.dll C:\Windows\vadokmxt.dll |
Genau:daumenhoc |
Also, die infizierten Datein hab ich gelöscht. Bei dem VundoFix hat er gemeldet, dass er nichts gefunden hat. Den 1. Eintrag hab ich gefixt, aber der 2. war nicht vorhanden. Hier das neue Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Bitte lade dir Filelist lass es laufen, danach wird sich ein Editor öffnen, bitte den gesamten inhalt posten. Bitte scanne noch diese Datei online: C:\Users\GRUBWI~1\AppData\Local\Temp\vtUmMcyx.dll,#1 Wie es aussieht wird die Datei von rundll32.exe ausgeführt... Wenn du diese Seite nicht kennst bitte fixen: O16 - DPF: {C8B73157-8752-429E-A465-3F361C76AE89} (AldiAtActiveFormX Element) - h**ps://shop.hofer-fotos-druck.at/shop/activex/aldi_at_express_upload.cab Bitte lade dir Malwarebytes (signatur) lasse es laufen, lösche alles gefundene und poste den Report bitte.:daumenhoc |
Das mit Filelist klappt nicht. Da steht "not supported windows version". Kann es damit zu tun haben, weil ich Vista hab? Die gescannte Datei: Datei vtUmMcyx.dll empfangen 2008.04.21 20:08:38 (CET) Status: Beendet Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.22.0 2008.04.21 - AntiVir 7.8.0.8 2008.04.21 ADSPY/Virtumonde.pmr Authentium 4.93.8 2008.04.20 - Avast 4.8.1169.0 2008.04.21 - AVG 7.5.0.516 2008.04.21 - BitDefender 7.2 2008.04.21 - CAT-QuickHeal 9.50 2008.04.21 AdWare.Virtumonde.pmr (Not a Virus) ClamAV 0.92.1 2008.04.21 - DrWeb 4.44.0.09170 2008.04.21 - eSafe 7.0.15.0 2008.04.21 - eTrust-Vet 31.3.5720 2008.04.21 - Ewido 4.0 2008.04.21 - F-Prot 4.4.2.54 2008.04.20 - F-Secure 6.70.13260.0 2008.04.21 - FileAdvisor 1 2008.04.21 - Fortinet 3.14.0.0 2008.04.21 - Ikarus T3.1.1.26 2008.04.21 Trojan.Win32.Vundo.D Kaspersky 7.0.0.125 2008.04.21 not-a-virus:AdWare.Win32.Virtumonde.pmr McAfee 5277 2008.04.18 Vundo Microsoft 1.3408 2008.04.21 Trojan:Win32/Vundo.gen!D NOD32v2 3043 2008.04.21 Win32/Adware.Virtumonde Norman 5.80.02 2008.04.18 - Panda 9.0.0.4 2008.04.20 - Prevx1 V2 2008.04.21 Trojan.Vundo Rising 20.41.02.00 2008.04.21 Trojan.Win32.VUNDO.bct Sophos 4.28.0 2008.04.21 Mal/Generic-A Sunbelt 3.0.1056.0 2008.04.17 - Symantec 10 2008.04.21 - TheHacker 6.2.92.285 2008.04.19 - VBA32 3.12.6.4 2008.04.16 - VirusBuster 4.3.26:9 2008.04.21 - Webwasher-Gateway 6.6.2 2008.04.21 Ad-Spyware.Virtumonde.pmr weitere Informationen File size: 38400 bytes MD5...: 17429758849bb0b25b4d3058a6650716 SHA1..: 75c4aea9b998fc66eef833447e0f0d8d87f95371 SHA256: cab40b27e0b26f0a844cb33a89cb58912ced5ecb25d860cd0c8b8c656113e3b8 SHA512: 5ee17c61ff738f55e1f4de16a479a890c74e073e715029d998f409bbf5a077e5 fb835042c5aac2647ac819ee74e616572d717d92767598b1239a6acec9cf9e25 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100051a8 timedatestamp.....: 0x51177b30 (Sun Feb 10 10:49:20 2013) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1e000 0x4600 7.24 52d72ddae97ee3816d0a1dea3ef7acdd .data 0x1f000 0x5000 0x4200 7.97 108cba9202cdd8cc0012cdea5eb524ce .rdata 0x24000 0x1000 0x400 5.84 fc23e9c096e341bb54f1cfd2d8ed4bd4 .idata 0x25000 0x1000 0x600 3.18 557d9fc65551684114193a3f82c76b16 ( 3 imports ) > user32.dll: ShowWindow, ShowOwnedPopups, ShowCursor, OffsetRect, LoadIconA, LoadAcceleratorsA, GetMenu, DrawCaption, CreateCursor, CopyImage > kernel32.dll: TlsSetValue, lstrcatA, VirtualAlloc, UnmapViewOfFile, GetVersionExA, GetFileSize, GetDateFormatA, ExitThread, lstrcpyA > oleaut32.dll: OleIconToCursor, OleLoadPicture, OleLoadPicturePath, RevokeActiveObject, SafeArrayAllocData, SafeArrayDestroy, VarBstrCat, VarBstrCmp, ClearCustData ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=95FD8B9C003BFDA39618003F70B944005C1EDEA3 Die angegebene Seite kenn ich, soll ich sie trotzdem fixen? Malwarebytes läuft gerade. |
Zitat:
Vistafindbat - download von VistaFindbat. zip auf Deinen desktop - öffne mit einem doppelklick die zip datein - starte mit einem rechtsklick auf die datei vistafind.bat (als administrator starten) das stapelverarbeitungsprogramm - Dein bevorzugtes textverarbeitungsprogramm wird sich öffnen - markiere den inhalt und füge in hier im forum in deinem beitrag ein. wichtig: logfile bitte im tag (das Raute Symbol) posten - formatiere nun Deinen beitrag vor dem speichern, in dem du alle texte, die ein älteres datum besitzen, als die letzten 30 tage, aus der liste löscht das sind alle verzeichnisse, die mit dieserVistaFind.bat ausgelesen werden. Verzeichnis von C:\ Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\system Verzeichnis von C:\WINDOWS\system32 --> von hier bitte alles posten Verzeichnis von C:\USER\Name\Temp Verzeichnis von C:\WINDOWS\Prefetch Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\USER\Name\Temp Verzeichnis von C:\Program Files\ --> hier alles posten lösche die datei vistafind.txt Wenn du die Seite kennst ist es nicht nötig;) Bitte benütze mal diese Tool hier. |
Code: Verzeichnis von C:\Windows\system32Code: Verzeichnis von C:\Program Files |
Report von Malwarebytes: Code: Malwarebytes' Anti-Malware 1.11Ich bekomme jetzt immer eine Fehlermeldung wenn ich den PC hochfahre: http://img72.imageshack.us/img72/5093/fehlerqg1.jpg |
Hallo blaueraffe, «« wende ccleaner an CCleaner «« mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat:
OTMoveIt by OldTimer öffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move Code: C:\Windows\system32\qoMdBRJA.dll«« wende bitte Combofix an ...Warnmeldung wegklicken + poste den report combofix |
Zitat:
Ich stimme dir bei allen sachen zu aber nicht bei ComboFix:rolleyes: ComboFix sollte man (noch) nicht auf Vista anwenden |
so ? ich denke aber, dass es nicht an dem ist. und mit combofix kann ich die Viren, die vielleicht noch drauf sind sehen. (es gibt auch noch andere Möglichkeiten, aber bei Combofix sehe ich auch gleich die Registry-Einträge) :) |
Das was nicht an wem ist? Man sollte ComboFix nicht auf Vista verwenden!!!!!! |
Das ist mir auch klar aber wenn man ComboFix nunmal nicht auf Vista verwenden darf, muss man eben auf andere Tools umsteigen:daumenhoc |
Ohne mich jetzt in eure Diskussion einmischen zu wollen: @blaueraffe: Könntest du wohl hier mal den Abschnitt "Suche" abarbeiten und das Log hier posten? lg myritlle |
beim Ersteller von Combofix - BleepingComputer.com - gibt es keinerlei Hinweise auf das "nichtanwenden" von Combofix auf Vista-Systemen. Die von dir übermittelte Warnung ist vom 7.März. An diesem Tag gab es eine Umstellung bei Combofix, wurde dann 2 Stunden später vom Server genommen und durch die ursprüngliche Version ersetzt. Man sollte bei Warnungen auch immer das Datum mitbeachten. |
Hallo myrtille :) smitfraudfix ist bei dieser Art von Verseuchung nicht sehr effektiv (noch nicht) einzig Malwarebytes (schon angewendet) und rvaxo erkennen das (teilweise) RVAXO und eben Combofix (oder comboscan) ... wenn man es zu interpretieren weiss. |
Ich wollte dich nur auch darauf aufmerksam machen da ich von GCSunny den Tipp erhalten habe:daumenhoc War nur ein gutgemeinter Tipp.... Ich werde ComboFix auf Vista jedenfalls (noch) nicht empfehlen;) |
@Sabina Es geht nicht um eine Bereinigung, ich brauch zu Anschauungszwecken nur ein Log von Smitfraudfix für diese Variante Die Bereinigung könnt ihr gern unter euch ausmachen. Würde ich glauben, dass Smitfradufix die Variante entfernt, hätte ich direkt die Option "entfernen" empfohlen. lg myrtille EDIT: RVAXO würde ich nicht empfehlen. Das arbeitet mit einer sehr restriktiven Whitelist und entfernt dadurch auch "saubere" O21-Einträge. Außerdem leistet es bei den Registryschlüsseln nur sehr mäßige Arbeit. |
Hab hier mal den Report von Smitfraudfix: Code: SmitFraudFix v2.316 |
Mit der Filelist (schon angewendet-->erfolgreich) kann man Malware auch erkennen:rolleyes: Wär ja schlimm wenn eine erfolgreiche Bereinigung eines infizierten Systems nicht ohne ComboFix gehen würde!! Wichtig ist ja vorallem die files zu entdecken!! Die registry Einträge sind da nicht so dramatisch...die kann man auch ohne Combofix sehen |
Hallo virus sunny hat das Theater bei protecus.de mitbekommen, als am 7.März zwei Rechner nur mit viel Mühe wieder hergestellt werden konnten. Wir haben darauf Alarm geschlagen und kurze Zeit darauf war die neue Version vom Server genommen und die alte, funktionierende wieder drauf. Allerdings bin ich einverstanden, dass du Combofix besser nicht anwendest, denn bei BleepingComputer.com wird ausdrücklich darauf hingewiesen, dass nur erfahrene Helfer die Combofix zur Anwendung bringen sollen, also Leute, welche die Informationen auch interpretieren können + Scripts erstellen. Auch nach Einführung der Whitelist sah man diesen Hinweis als notwendig an. |
Zitat:
Bis jetzt bin ich eigentlich immer ohne deine Hilfe zurechtgekommen:rolleyes: Ich frage mich wie du auf die Idee gekommen bist mir soetwas vorzuwerfen:confused: Bist du so verzweifelt? Eigentlich möchte ich das Thema auch nicht weiter besprechen und lieber dem User helfen. |
@blaueraffe: Danke :daumenhoc lg myrtille |
CCleaner hab ich angewendet. Das mit HijackThis hab ich auch gemacht. OTMoveIt schreibt nachdem ich eingegeben hab das hier: File/Folder C:\Windows\system32\qoMdBRJA.dll not found. OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04222008_162230 Die Fehlermeldung bei Hochfahren ist nicht mehr da und AntiVir meldet auch nicht mehr, dass Vundo.Gen da ist. Soll ich das mit ComboFix jetzt also machen? |
wahrscheinlich hat malwarebytes schon alles rausgeholt - dennoch würde ich mir das Log von Combofix gern noch mal ansehen, vielleicht ist noch was zu finden |
Ich denke es funktioniert jetzt wieder alles und der Virus wurde gelöscht. Großes Dankeschön an virus! :aplaus: Danke auch an Sabina! |
Zitat:
Gut wenn alles wieder richtig läuft, aber könntest du ein letztes Hijackthis Logfile posten? Nur zur Sicherheit:daumenhoc Obwohl ich glaube das wirklich alles weg sein sollte... |
Hier dann nochmal ein Logfile: :) Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi Bitte lass noch diese Dateien online scannen: c:\program files\google\googletoolbar2user.exe |
Datei googletoolbar2user.exe empfangen 2008.04.26 18:17:56 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 36 und 52 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.25.2 2008.04.25 - AntiVir 7.8.0.10 2008.04.25 - Authentium 4.93.8 2008.04.26 - Avast 4.8.1169.0 2008.04.25 - AVG 7.5.0.516 2008.04.26 - BitDefender 7.2 2008.04.26 - CAT-QuickHeal 9.50 2008.04.26 - ClamAV 0.92.1 2008.04.26 - DrWeb 4.44.0.09170 2008.04.26 - eSafe 7.0.15.0 2008.04.21 - eTrust-Vet 31.3.5736 2008.04.26 - Ewido 4.0 2008.04.26 - F-Prot 4.4.2.54 2008.04.25 - F-Secure 6.70.13260.0 2008.04.26 - FileAdvisor 1 2008.04.26 - Fortinet 3.14.0.0 2008.04.26 - Ikarus T3.1.1.26.0 2008.04.26 - Kaspersky 7.0.0.125 2008.04.26 - McAfee 5282 2008.04.25 - Microsoft 1.3408 2008.04.22 - NOD32v2 3056 2008.04.26 - Norman 5.80.02 2008.04.25 - Panda 9.0.0.4 2008.04.26 - Prevx1 V2 2008.04.26 - Rising 20.41.52.00 2008.04.26 - Sophos 4.28.0 2008.04.26 - Sunbelt 3.0.1056.0 2008.04.17 - Symantec 10 2008.04.26 - TheHacker 6.2.92.293 2008.04.26 - VBA32 3.12.6.5 2008.04.26 - VirusBuster 4.3.26:9 2008.04.26 - Webwasher-Gateway 6.6.2 2008.04.26 - weitere Informationen File size: 52272 bytes MD5...: 4b7c04f6a3d6ddbd5a0924558b3ea491 SHA1..: 12c4b78839d75eba866ae3bd996735a2ad718993 SHA256: 593a7ae7474d482681db66f175127ba57eae83f14e9c197e3992bb590674482d SHA512: 0af374fd05c7f87cbe50dc349c4f3d2eaf41fff1a0eea20eee1821cbf6b2ae9d cc028a43869db53d2959560918e03b6bbda1129f7f39d7ce6eeb851bd2f41670 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401971 timedatestamp.....: 0x45b1bb96 (Sat Jan 20 06:49:58 2007) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5354 0x6000 6.12 5eb54000b099ae7cd25ae114675f7ef3 .rdata 0x7000 0x1aa0 0x2000 4.46 5c3d3f55ab21cd69911cf7c8d6745818 .data 0x9000 0x12fc 0x1000 1.52 0f01277e835412c63449c9e209afde08 .rsrc 0xb000 0x420 0x1000 1.99 a0d931ea540bf62e408df737d22981ee ( 2 imports ) > KERNEL32.dll: GetModuleHandleA, GetModuleHandleW, GetProcAddress, GetFileAttributesW, GetVersion, InitializeCriticalSection, DeleteCriticalSection, LoadLibraryW, GetLastError, SetLastError, lstrlenW, OutputDebugStringA, FreeLibrary, InterlockedExchange, GetACP, GetLocaleInfoA, lstrcmpiW, GetModuleFileNameW, lstrcpyW, GetSystemInfo, GetVersionExA, EnterCriticalSection, LeaveCriticalSection, HeapFree, GetStartupInfoW, ExitProcess, HeapReAlloc, HeapAlloc, RtlUnwind, VirtualQuery, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, TerminateProcess, GetCurrentProcess, HeapSize, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, MultiByteToWideChar, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, TlsAlloc, GetCurrentThreadId, TlsFree, TlsSetValue, TlsGetValue, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LoadLibraryA, GetOEMCP, GetCPInfo, GetStringTypeA, GetStringTypeW, LCMapStringA, WideCharToMultiByte, LCMapStringW, VirtualProtect > USER32.dll: MessageBeep ( 0 exports ) Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=4b7c04f6a3d6ddbd5a0924558b3ea491 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board