Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Vundo.Gen (https://www.trojaner-board.de/52991-tr-vundo-gen.html)

-Mirage- 28.05.2008 22:06
Hi,

ich gehe auf: start-> computer-> C:\-> Windows-> System32-> ...und kopiere ALLES???
Da zeigt er mir eine Größe von knapp 2,6 GB !!!

Ist das richtig so? Oder stehe ich jetzt auf dem Schlauch?!?!

myrtille 28.05.2008 22:11
Äh nein, das war wohl etwas undeutlich ausgedrückt. :D

Du erstellst das Log mit filelist. In diesem Log sind die Dateien in den verschiedener Ordner namentlich gelistet (C:\, C:\windows,C:\windows\system32...); in diesem Fall interessiert mich nur der Inhalt von C:\windows\system32.

Also nur den Teil des Logs posten. :)

lg myrtille

-Mirage- 28.05.2008 22:16
Ach so....
..im Editor steht aber das hier:

not supported windows version
----------------------------------------

Microsoft Windows [Version 6.0.6000]

myrtille 28.05.2008 22:39
Sorry, ich bin offensichtlich schon zu müde. :o

Das hier wäre der für dich korrekte Link: klick

Ich meld mich dann morgen wieder. ;)

lg myrtille

-Mirage- 29.05.2008 14:42
Liste der Anhänge anzeigen (Anzahl: 1)
Kein Thema :-) habe Frühschicht und bin um die Zeit auch nicht so fit.

Nachdem ich die BAT starte, kommt im Editor die Aufforderung "beliebige Taste drücken".
Danach öffnet sich ein Windows-Fenster (siehe Anhang).

myrtille 29.05.2008 16:55
Führe die bat per Rechtsklick als Administrator aus. Sonst darf er die Datei nicht erstellen, in die er das gerne schreiben würde. ;)

lg myrtille

-Mirage- 29.05.2008 17:08
Hier der link zu file-upload.net

File-Upload.net - Ihr kostenloser File Hoster!

sag mir bescheid, wann ich das Upgeloadete Zeug dort wieder entfernen kann.

Danke.

myrtille 29.05.2008 17:18
Hi,
Datei ist da :)

Ich denke ich weiß auch wer die Datei gefressen hat. Schau bitte mal, ob du die Datei in der Quarantäne von Malwarebytes findest.

Wenn die Datei dort ist, dann extrahier sie bitte und benenne sie anschließend in "virus.vir" um und lade sie bei virustotal hoch und poste das Ergebnis hier.

Mach bitte außerdem eine Suche nach "rundll32.exe" und poste die Funde bitte hier.
lg myrtille

-Mirage- 29.05.2008 17:36
Hier das Ergebnis von virustotal.
AhnLab-V3 2008.5.29.0 2008.05.29 -
AntiVir 7.8.0.19 2008.05.28 -
Authentium 5.1.0.4 2008.05.28 -
Avast 4.8.1195.0 2008.05.29 -
AVG 7.5.0.516 2008.05.28 -
BitDefender 7.2 2008.05.29 -
CAT-QuickHeal 9.50 2008.05.28 -
ClamAV 0.92.1 2008.05.28 -
DrWeb 4.44.0.09170 2008.05.28 -
eSafe 7.0.15.0 2008.05.28 -
eTrust-Vet 31.4.5832 2008.05.29 -
Ewido 4.0 2008.05.28 -
F-Prot 4.4.4.56 2008.05.28 -
F-Secure 6.70.13260.0 2008.05.29 -
Fortinet 3.14.0.0 2008.05.29 -
GData 2.0.7306.1023 2008.05.29 -
Ikarus T3.1.1.26.0 2008.05.29 -
Kaspersky 7.0.0.125 2008.05.29 -
McAfee 5305 2008.05.28 -
Microsoft 1.3520 2008.05.29 -
NOD32v2 3142 2008.05.28 -
Norman 5.80.02 2008.05.28 -
Panda 9.0.0.4 2008.05.28 -
Prevx1 V2 2008.05.29 -
Rising 20.46.30.00 2008.05.29 -
Sophos 4.29.0 2008.05.29 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.29 -
TheHacker 6.2.92.322 2008.05.28 -
VBA32 3.12.6.6 2008.05.28 -
VirusBuster 4.3.26:9 2008.05.28 -
Webwasher-Gateway 6.6.2 2008.05.28 -
weitere Informationen
File size: 44544 bytes
MD5...: 4b555106290bd117334e9a08761c035a
SHA1..: 2d77b2ac185828a6300c8838355444279929bcb0
SHA256: 8a3808fbc197040bf0c65084514e8441e35ffff8e31980f9ce1f41ed65e08437
SHA512: 257dfea475cd72010ac52c3298a0ec43f682b8f5c121fafb65a3b256ad91e44b
d60decfa119b1889380e0ee88e64866965230e1d1f0016de28e00936e21f3c94
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1001487
timedatestamp.....: 0x4549b0e1 (Thu Nov 02 08:48:33 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x393d 0x3a00 6.42 0344752302358062d9dc01b4216ea594
.data 0x5000 0x3c0 0x400 0.22 0d1d63b6d48eaa1443c6d701ea3bc2c2
.rsrc 0x6000 0x6710 0x6800 5.68 e42ace62b4008a6f6bec2f4a53a61bff
.reloc 0xd000 0x254 0x400 4.57 7db228b6f3ae4823ee322fe5bd961252

( 5 imports )
> KERNEL32.dll: QueryActCtxW, CloseHandle, SetFilePointer, ReadFile, CreateFileW, LocalFree, lstrlenA, WideCharToMultiByte, LocalAlloc, lstrlenW, GetProcAddress, WaitForSingleObject, CreateProcessW, Wow64EnableWow64FsRedirection, GetSystemDirectoryW, GetNativeSystemInfo, IsWow64Process, GetCurrentProcess, GetCommandLineW, FormatMessageW, GetLastError, LoadLibraryW, FreeLibrary, ExitProcess, SetErrorMode, HeapSetInformation, InterlockedCompareExchange, LoadLibraryA, InterlockedExchange, Sleep, GetStartupInfoW, SetUnhandledExceptionFilter, DelayLoadFailureHook, GetModuleHandleA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, CompareStringW, ReleaseActCtx, GetFileAttributesW, SearchPathW, CreateActCtxW, GetModuleHandleW, ActivateActCtx, DeactivateActCtx
> USER32.dll: LoadIconW, CharNextW, DefWindowProcW, GetClassLongW, GetClassNameW, GetWindow, GetWindowLongW, SetWindowLongW, SetClassLongW, CreateWindowExW, RegisterClassW, DestroyWindow, LoadStringW, MessageBoxW, LoadCursorW
> msvcrt.dll: iswalpha, _wtoi, wcschr, __wgetmainargs, memset, _vsnwprintf, __p__fmode, _controlfp, _except_handler4_common, _terminate@@YAXXZ, __set_app_type, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _exit, _cexit
> imagehlp.dll: ImageDirectoryEntryToData
> ntdll.dll: NtClose, NtOpenProcessToken, NtSetInformationToken, NtSetInformationProcess, RtlImageNtHeader, NtQueryInformationToken

( 0 exports )

-Mirage- 29.05.2008 17:43
Liste der Anhänge anzeigen (Anzahl: 1)
Hier das Suchergebnis nach rundll32.exe

Er findet eine REG-Datei "cc_20080527_2114.reg", siehe Bild.

Wenn ich nur nach "rundll32" suche, kommt außerdem noch ein "rundll32.zip"-Ordner .

myrtille 29.05.2008 17:44
Hi,
das ist die "normale" rundll32.exe. :) Du kannst die Datei also wieder ihrem ursprünglichem Namen zuführen und dann sollte alles ok sein. :)

(Ich wollte nur sichergehen, dass die Datei nicht von einem Trojaner verändert worden ist)

lg myrtille

-Mirage- 29.05.2008 17:52
Zitat:
Zitat von myrtille (Beitrag 342049)
Hi,
das ist die "normale" rundll32.exe. :) Du kannst die Datei also wieder ihrem ursprünglichem Namen zuführen...
Und wie stelle ich das an? Bitte Schritt für Schritt.

Danke dir nochmals.

myrtille 29.05.2008 17:56
Hi,
einfach die Datei, die du vorhin hast auswerten lassen in rundll32.exe umbenennen.
Also rechtsklick->umbenennen->namen eingeben->"wollen sie das wirklich tun" bestätigen.
Die Datei muss danach noch in den Ordner C:\windows\system32 verschoben/kopiert werden.

lg myrtille

-Mirage- 29.05.2008 18:02
WOW!!!

Danke myrtille:aplaus::daumenhoc.

Das hat ja superschnell geklappt.

Wie siehts mit dem Trojaner-Problem aus? Bin ich schon geheilt? Oder wilst du noch ein paar Logs angucken?

myrtille 29.05.2008 18:07
Hi,
meines Erachtens bist du eigentlich sauber. Zumindest seh ich in den Logs nichts mehr.

Hast du denn noch probleme?

lg myrtille

EDIT:
Den Ordner muss ich wohl übersehen haben:
Zitat:
C:\Users\Alex\AppData\Roaming\fehlerbeseitiger
Den kannst du noch löschen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:28 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131