| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan Horse und oder Vundo oder was ???Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
09.07.2007, 22:29
| #1 |
| |  Trojan Horse und oder Vundo oder was ??? Hallo, ich habe mir wohl irgendwas eingesammelt.Als ich heute abend den Rechner hochfuhr kam gleich nach dem Start eine Meldung von Norton das es die Datei "qwerty12 exe." gesperrt hat. Danach erschienen Meldungen das Antivirus verschiedene Dateien mit dem Namen Trojan Horse repariert hat. Habe mich dann mal durch das Bord gelesen und mir VundoFix gezogen drüberlaufen lassen und zwei Dateien damit entfernt. Im Lgfile von HiJack sind aber immer noch ein paar Einträge die mir zu schaffen machen. Könnte mir vielleicht jemand dabei helfen das zu bereinigen?? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:11:25, on 09.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Norton Internet Security\ccPxySvc.exe C:\WINDOWS\system32\qwerty12.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\AOL\1169994177\ee\AOLSoftware.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AOL 9.0 VR\waol.exe C:\Programme\AOL 9.0 VR\shellmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\xy\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {46d65807-b4fc-4b27-af0f-0c4932a9e03c} - C:\WINDOWS\system32\dsdf32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1169994177\ee\AOLSoftware.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [winehq.org] rundll32.exe "C:\WINDOWS\ddayxv.dll",realset O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VR\AOL.EXE" -b O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1164626374171 O20 - AppInit_DLLs: c:\windows\system32\vtutsqr.dll O20 - Winlogon Notify: dsdf32 - C:\WINDOWS\SYSTEM32\dsdf32.dll O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qwerty12.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 6655 bytes Für Eure mühe schon mal vielen Dank im Vorraus Gruss sera47 |
|
09.07.2007, 22:53
| #2 |
  | Trojan Horse und oder Vundo oder was ??? Man könnte im ersten Moment auf Vundo schliessen, das stimmt.
__________________Hast dich zumindest gut vorher informiert. Gucken wir erst einmal was der scan sagt. Nur bei dem qwerty bin ich mir nicht sicher. Wir schauen erst mal. Lass diese Dateien der Reihe nach bei Virustotal untersuchen: VIRUSTOTAL - Free Online Virus and Malware Scan Dateien ins weisse Fentserchen kopieren, auf "send" klicken. (Hoffe der Server funzt) C:\WINDOWS\system32\qwerty12.exe C:\WINDOWS\system32\dsdf32.dll c:\windows\system32\vtutsqr.dll Poste das Ergebnis des scans hier! Geändert von Mobius07 (09.07.2007 um 23:21 Uhr) Grund: Korrektur |
|
10.07.2007, 07:02
| #3 |
  | Trojan Horse und oder Vundo oder was ??? Moin
__________________und wenn du alle versteckten Dateien und Ordner sichtbar gemacht hast lass diese Datei : C:\WINDOWS\ddayxv.dll mit auswerten bei Virustotal (alternativ Jotti) MFG Moin Möbius07 |
|
10.07.2007, 09:43
| #4 | |
| | Trojan Horse und oder Vundo oder was ???Zitat:
Kurze Nacht gewesen. Gleich zur Arbeit.  Moin zurück |
|
10.07.2007, 20:47
| #5 |
| | Trojan Horse und oder Vundo oder was ??? Hallo, so ich habe die Dateien gescannt hier die Ergebnisse: STATUS: FINISHEDComplete scanning result of "qwerty12.exe", received in VirusTotal at 07.10.2007, 19:27:46 (CET). Antivirus Version Update Result AhnLab-V3 2007.7.7.0 07.10.2007 no virus found AntiVir 7.4.0.39 07.10.2007 TR/Crypt.XPACK.Gen Authentium 4.93.8 07.09.2007 no virus found Avast 4.7.997.0 07.09.2007 no virus found AVG 7.5.0.476 07.09.2007 Obfustat.UB BitDefender 7.2 07.10.2007 Trojan.Fotomoto.A CAT-QuickHeal 9.00 07.10.2007 (Suspicious) - DNAScan ClamAV devel-20070416 07.10.2007 no virus found DrWeb 4.33 07.10.2007 no virus found eSafe 7.0.15.0 07.10.2007 suspicious Trojan/Worm eTrust-Vet 30.8.3777 07.10.2007 no virus found Ewido 4.0 07.10.2007 Trojan.Small FileAdvisor 1 07.10.2007 no virus found Fortinet 2.91.0.0 07.10.2007 W32/Agent.AOY!tr F-Prot 4.3.2.48 07.09.2007 no virus found Ikarus T3.1.1.8 07.10.2007 Trojan.Fotomoto.A Kaspersky 4.0.2.24 07.10.2007 no virus found McAfee 5071 07.10.2007 no virus found Microsoft 1.2704 07.10.2007 no virus found NOD32v2 2390 07.10.2007 no virus found Norman 5.80.02 07.10.2007 no virus found Panda 9.0.0.4 07.10.2007 no virus found Sophos 4.19.0 07.06.2007 no virus found Sunbelt 2.2.907.0 07.07.2007 VIPRE.Suspicious Symantec 10 07.10.2007 no virus found TheHacker 6.1.6.144 07.09.2007 no virus found VBA32 3.12.0.2 07.09.2007 no virus found VirusBuster 4.3.23:9 07.10.2007 no virus found Webwasher-Gateway 6.0.1 07.10.2007 Trojan.Crypt.XPACK.Gen Aditional Information File size: 55235 bytes MD5: 2467b720c07ea66e9c023d1c12017b7e SHA1: 69dd93bfa9e1a03f434fdd652b983cc06aea582b Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. STATUS: FINISHEDComplete scanning result of "vtutsqr.dll", received in VirusTotal at 07.10.2007, 19:46:11 (CET). Antivirus Version Update Result AhnLab-V3 2007.7.7.0 07.10.2007 no virus found AntiVir 7.4.0.39 07.10.2007 TR/Crypt.XPACK.Gen Authentium 4.93.8 07.09.2007 no virus found Avast 4.7.997.0 07.09.2007 no virus found AVG 7.5.0.476 07.09.2007 Obfustat.UM BitDefender 7.2 07.10.2007 no virus found CAT-QuickHeal 9.00 07.10.2007 no virus found ClamAV devel-20070416 07.10.2007 no virus found DrWeb 4.33 07.10.2007 no virus found eSafe 7.0.15.0 07.10.2007 no virus found eTrust-Vet 30.8.3777 07.10.2007 no virus found Ewido 4.0 07.10.2007 no virus found FileAdvisor 1 07.10.2007 no virus found Fortinet 2.91.0.0 07.10.2007 no virus found F-Prot 4.3.2.48 07.09.2007 no virus found Ikarus T3.1.1.8 07.10.2007 no virus found Kaspersky 4.0.2.24 07.10.2007 no virus found McAfee 5071 07.10.2007 no virus found Microsoft 1.2704 07.10.2007 no virus found NOD32v2 2390 07.10.2007 no virus found Norman 5.80.02 07.10.2007 no virus found Panda 9.0.0.4 07.10.2007 Suspicious file Sophos 4.19.0 07.06.2007 no virus found Sunbelt 2.2.907.0 07.07.2007 VIPRE.Suspicious Symantec 10 07.10.2007 no virus found TheHacker 6.1.6.144 07.09.2007 no virus found VBA32 3.12.0.2 07.09.2007 no virus found VirusBuster 4.3.23:9 07.10.2007 no virus found Webwasher-Gateway 6.0.1 07.10.2007 Trojan.Crypt.XPACK.Gen Aditional Information File size: 12889 bytes MD5: c45ed848a4639028e9c15daad46a06a6 SHA1: 0f2c7aa83c46eb828de82a605a06a08099ec20e1 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. STATUS: FINISHEDComplete scanning result of "dsdf32.dll", received in VirusTotal at 07.10.2007, 19:33:46 (CET). Antivirus Version Update Result AhnLab-V3 2007.7.7.0 07.10.2007 no virus found AntiVir 7.4.0.39 07.10.2007 no virus found Authentium 4.93.8 07.09.2007 no virus found Avast 4.7.997.0 07.09.2007 no virus found AVG 7.5.0.476 07.09.2007 Obfustat.TS BitDefender 7.2 07.10.2007 no virus found CAT-QuickHeal 9.00 07.10.2007 no virus found ClamAV devel-20070416 07.10.2007 no virus found DrWeb 4.33 07.10.2007 no virus found eSafe 7.0.15.0 07.10.2007 no virus found eTrust-Vet 30.8.3777 07.10.2007 no virus found Ewido 4.0 07.10.2007 no virus found FileAdvisor 1 07.10.2007 no virus found Fortinet 2.91.0.0 07.10.2007 no virus found F-Prot 4.3.2.48 07.09.2007 no virus found Ikarus T3.1.1.8 07.10.2007 no virus found Kaspersky 4.0.2.24 07.10.2007 no virus found McAfee 5071 07.10.2007 no virus found Microsoft 1.2704 07.10.2007 no virus found NOD32v2 2390 07.10.2007 no virus found Norman 5.80.02 07.10.2007 no virus found Panda 9.0.0.4 07.10.2007 Suspicious file Sophos 4.19.0 07.06.2007 no virus found Sunbelt 2.2.907.0 07.07.2007 VIPRE.Suspicious Symantec 10 07.10.2007 no virus found TheHacker 6.1.6.144 07.09.2007 no virus found VBA32 3.12.0.2 07.09.2007 no virus found VirusBuster 4.3.23:9 07.10.2007 no virus found Webwasher-Gateway 6.0.1 07.10.2007 Win32.Malware.gen (suspicious) Aditional Information File size: 92726 bytes MD5: ee10bf193a1a182c6e78e94301418e0c SHA1: c5537ffcf1a3a708fa3b1baaf6069897d633c984 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. STATUS: FINISHEDComplete scanning result of "ddayxv.dll", received in VirusTotal at 07.10.2007, 19:51:44 (CET). Antivirus Version Update Result AhnLab-V3 2007.7.7.0 07.10.2007 no virus found AntiVir 7.4.0.39 07.10.2007 no virus found Authentium 4.93.8 07.09.2007 no virus found Avast 4.7.997.0 07.09.2007 no virus found AVG 7.5.0.476 07.09.2007 no virus found BitDefender 7.2 07.10.2007 no virus found CAT-QuickHeal 9.00 07.10.2007 no virus found ClamAV devel-20070416 07.10.2007 no virus found DrWeb 4.33 07.10.2007 no virus found eSafe 7.0.15.0 07.10.2007 no virus found eTrust-Vet 30.8.3777 07.10.2007 no virus found Ewido 4.0 07.10.2007 no virus found FileAdvisor 1 07.10.2007 no virus found Fortinet 2.91.0.0 07.10.2007 no virus found F-Prot 4.3.2.48 07.09.2007 no virus found Ikarus T3.1.1.8 07.10.2007 not-a-virus:AdWare.Win32.Virtumonde.ar Kaspersky 4.0.2.24 07.10.2007 not-a-virus:AdWare.Win32.Virtumonde.ar McAfee 5071 07.10.2007 potentially unwanted program Vundo Microsoft 1.2704 07.10.2007 no virus found NOD32v2 2390 07.10.2007 no virus found Norman 5.80.02 07.10.2007 no virus found Panda 9.0.0.4 07.10.2007 Suspicious file Sophos 4.19.0 07.06.2007 Virtumundo Sunbelt 2.2.907.0 07.07.2007 VIPRE.Suspicious Symantec 10 07.10.2007 Trojan.Vundo TheHacker 6.1.6.144 07.09.2007 no virus found VBA32 3.12.0.2 07.09.2007 no virus found VirusBuster 4.3.23:9 07.10.2007 no virus found Webwasher-Gateway 6.0.1 07.10.2007 Win32.Malware.gen (suspicious) Aditional Information File size: 135015 bytes MD5: c2f6865404540ea2f2ff118562ce97be SHA1: f1d74d4dddf9c18ade71e41e1daedbd2a370268a Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. kann ich die jetzt mit HiJack einfach fixen und das Problem ist gegessen oder wird die Sache vielleicht doch noch etwas komplizierter ??? Gruss sera47 |
|
10.07.2007, 22:03
| #6 | ||
| | Trojan Horse und oder Vundo oder was ??? Hallo Zitat:
Zitat:
Schicke bitte diese Datei : C:\WINDOWS\system32\dsdf32.dll (ich tippe hier eine Vundovariante wegen der typischen Einträge im Log und weil Vundo eh schon vorhanden ist) an einige Adressen aus dieser Liste, Norton sollte in deinem Fall natürlich dabei sein (dazu z.B. Avast, Antivir und Kaspersky) http://www.trojaner-board.de/19273-v...einsenden.html wie dies genau geht siehst in der Beschreibung, Danke. Nun heißt es warten auf Ergebnisse. Bis wir näheres erfahren bitte ich dich einen eScan zu machen --> eScananleitung halte dich bitte genau an die Anleitung, poste die Funde mithilfe der Find.bat MFG |
|
15.07.2007, 15:30
| #7 |
| | Trojan Horse und oder Vundo oder was ??? Hallo, wollte nur kurz bescheid sagen,dass sich das Thema erledigt hat,da ich das System kurzerhand neu aufgesetzt habe. Gestern Abend blinkte mein Desktop wie ein Weihnachtsbaum und der Scan mit Escan ergab einen ganzen Haufen Hijacker,Trojaner,Keylogger und anderen Mist,das war mir echt zu blöd. @ nochdigger: Der Scan der letzten drei Dateien war ohne Befund. Gruss Sera47 |
|
| Themen zu Trojan Horse und oder Vundo oder was ??? |
| adobe, antivirus, appinit_dlls, bho, drivers, einstellungen, explorer, fast start, gesperrt, helfen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, magix, microsoft, monitor, programme, proxy, rundll, s-1-5-18, security, server, symantec, system, t-online, temp, trend micro, trojan, träge, vielen dank, vundo, windows, windows xp, wlan |
Hybrid-Darstellung
