TR/Vundo Trojaner mit yvxtappa.dll und jpmjgxgn.dll

ravekini · 08.12.2007, 15:04

Hallo
Hab ein Problem mit dem TR/Vundo trojaner. Hab jetzt schon im Board gesucht und einiges gefunden leider passen bei denn Lösungen nicht die DLL´s die bei mir zum Vundo gehören.
Und zwar sind das die yvxtapaa.dll und die jpmjgxgn.dll, habs schon mit avenger versucht die zu löschen. Aber Avenger sagt das er kein neues Skript erstellen kann.
Hilfe !!!

Danke schon im vorraus!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:45:49, on 08.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\NOS GmbH\BC Scan\BLCOnline.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\-\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZLQFQ74A\hjt[1].com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C9A3D6F-DE53-4EE8-8B82-7C20B5DB5E07} - C:\WINDOWS\system32\geeby.dll
O2 - BHO: (no name) - {6AA3809C-6261-456F-8FCA-43FE39ADC5E9} - C:\WINDOWS\system32\efcayaw.dll
O2 - BHO: {a8075adc-b779-784a-61b4-5e7029f1726f} - {f6271f92-07e5-4b16-a487-977bcda5708a} - C:\WINDOWS\system32\yvxtapaa.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [78164564] rundll32.exe "C:\WINDOWS\system32\eanwslmt.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SmartSync Pro] "C:\Programme\SmartSync Pro\SmartSync.exe" /Logon
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BC-Sync.lnk = C:\Programme\NOS GmbH\BC Scan\ID_NOS.exe
O4 - Startup: BCLC-Online.lnk = C:\Programme\NOS GmbH\BC Scan\BLCOnline.exe
O4 - Global Startup: FRITZ!data.lnk = C:\Programme\FRITZ!\FriDat32.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Trust Auto Start.lnk = F:\DMStartup.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6D868B99-8B01-4B25-9BD1-ED37AFDF5E29} (Ontrack Data Recovery Verifile Data Reports) - http://www.ontrack.de/verifile/npvfasp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6BB6B01-9758-4831-8D2B-8D55A5A6BCF5}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: efcayaw - C:\WINDOWS\SYSTEM32\efcayaw.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\alsaviqa.exe (file missing)

--
End of file - 6052 bytes

cosinus · 08.12.2007, 22:38

Hi,

Zitat:

habs schon mit avenger versucht die zu löschen. Aber Avenger sagt das er kein neues Skript erstellen kann.

überprüf mal ob WindowsScriptHost aktiv ist bei dir. Starte regedit und navigiere zu

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

Im rechten Teilfenster müsste eine Zeichenfolge namens Enabled mit dem Wert 1 sein. Wenn nicht, ggf. neue Zeichenfolge "Enabled" erstellen und Wert 1 durch Doppelklick zuweisen.

Probiere es dann erneut mit dem Avenger:
1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\efcayaw.dll
C:\WINDOWS\system32\geeby.dll
C:\WINDOWS\system32\yvxtapaa.dll
C:\WINDOWS\system32\eanwslmt.dll
C:\WINDOWS\system32\jpmjgxgn.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Du musst auch in den abgesicherten Modus von Windows. Starte dort HijackThis und fixe diese Einträge:

Code:

ATTFilter

O2 - BHO: (no name) - {5C9A3D6F-DE53-4EE8-8B82-7C20B5DB5E07} - C:\WINDOWS\system32\geeby.dll
O2 - BHO: (no name) - {6AA3809C-6261-456F-8FCA-43FE39ADC5E9} - C:\WINDOWS\system32\efcayaw.dll
O2 - BHO: {a8075adc-b779-784a-61b4-5e7029f1726f} - {f6271f92-07e5-4b16-a487-977bcda5708a} - C:\WINDOWS\system32\yvxtapaa.dll
O4 - HKLM\..\Run: [78164564] rundll32.exe "C:\WINDOWS\system32\eanwslmt.dll",b
O20 - Winlogon Notify: efcayaw - C:\WINDOWS\SYSTEM32\efcayaw.dll

Danach Windows wieder neu starten (normaler Modus) und ein neues HJT-Log erstellen und posten. Führ auch mal für weitere Analysen diese Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

TR/Vundo Trojaner mit yvxtappa.dll und jpmjgxgn.dll

Plagegeister aller Art und deren Bekämpfung: TR/Vundo Trojaner mit yvxtappa.dll und jpmjgxgn.dll

TR/Vundo Trojaner mit yvxtappa.dll und jpmjgxgn.dll

TR/Vundo Trojaner mit yvxtappa.dll und jpmjgxgn.dll

Ähnliche Themen: TR/Vundo Trojaner mit yvxtappa.dll und jpmjgxgn.dll