![]() |
|
Plagegeister aller Art und deren Bekämpfung: virtumonde, trojan.inject + StartPage, vtsqo.dll, PurityScan, ZenoSearch, ljjihee.dllWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() virtumonde, trojan.inject + StartPage, vtsqo.dll, PurityScan, ZenoSearch, ljjihee.dll Hallo, ich möchte in diesem Board meine Erfahrungen mit einem Angriff auf meinem Computer zusammenfassen. Es wäre nett, wenn der eine oder andere – vielleicht mit ähnlichen Erfahrungen – diese kommentieren könnte oder die Experten dieser Seite zu der Stärke der Bedrohung Stellung nehmen könnten, die durch diverse Programme vermeintlich ausgeräumt würden. Ich habe von einer nicht vertrauenswürdigen Seite eine gezippte Datei heruntergeladen, die eine patch.exe und crack.exe enthielt. Nach positivem Check mit meiner „glorreichen“ Norton Internet Security habe ich diese ausgeführt, wobei Norton dann doch eine Bedrohung aufgefallen ist, die entfernt wurde (leider erinnere ich mich nicht mehr an den Namen). Anschließend fiel das Programm in seinen Schneewittchenschlaf zurück. Alamiert dadurch habe ich mir dann VundoFix.exe heruntergeladen, welches dann die VTSQO.exe und die FIYOQSRV.exe sowie die entsprechenden dlls gefunden und laut Protokoll gelöscht hat. Leider hat sich die VTSQO.dll laut Zeitstempel eine Minute später bereits reinstalliert und zwar so im Windowssystem, dass Vundofix.exe sie nicht mehr las Malware identifizieren konnte. Dazu später mehr. Schließlich habe ich einen Online-Scan mit Kasperski durchgeführt. Dieser zeigte mit folgende Bedrohungen: Trojan.Win32.Dialer.yz (patch.exe, gos100.tmp) Adware.Win32.PurityScan.gn Adware.Win32.ZenoSearch.ad Trojan.Win32.StartPage.atc (SuperFinderUSA.dll) Trojan.Win32.inject.mt (crack.exe) Adware.Win32.virtumonde.cli (Rcx28.tmp, rx23.tmp, rc12.tmp, usw.) Außerdem wurden folgende Dateien als Dialer infiziert angesehen: Drvfag.dll Winwim.dll Als mit Virtumonde infected wurden folgende Dateien identifiziert: DevDetect.exe Clistart.exe Lightscribecontrolpanel.exe Googletoolbarnotifier.exe Jusched.exe Msmsgs.exe Prevxcsi.exe Msconfig.exe.tmp Ctfmon.exe.tmp Gut, Norton wurde also zu diesem Zeitpunkt verdammt und wird nie wieder in die Nähe einer meiner Computer kommen, Kasperski installiert und alle Probleme erst mal behoben. Netterweise waren die betroffenen exe-Dateien noch in ihrem Originalzustand nur mit einem Leerzeichen vor den exe vorhanden und konnten somit durch Löschen dieses Leerzeichens wiederhergestellt werden (warum sollte man als Hacker so nett sein???). Weiterhin entfernt wurden die ljjihee.dll, hshslgbo.dll, tmp39.tmp und die ctfmon.exe. Kasperski hat dann noch alle Bedrohungen, die sich im System Volume Information befanden (insgesamt 269 infizierte Dateien) gelöscht. Da alle RestorePoints auch das Datum 7 Minuten nach der Infizierung trugen, habe ich diesen Bereich komplett gelöscht. Zusätzlich ließen sich die Windows-Updates nicht mehr installieren. Dazu musste einige Dateien neu registriert werden (wuapi.dll, wuaueng.dll, wuaueng1.dll, wucltui.dll, ...) Die einzige Datei, die alles überlebt hatte und weder von Kasperski noch von VundoFix.exe, ActiveScan oder prevxcsi als Bedrohung eingestuft wurde, war die VTSQO.dll. Diese wurde zwar von Security Task Manager als gefährlich eingestuft, konnte aber nicht von diesem entfernt werden Auch killbox.exe und Konsorten waren nicht in der Lage, diese zu löschen. Erst RegRun hat das Ding gekillt (Bravo!). Die replizierte Version in der System Volume Information wurde von Kasperski wieder erkannt und gelöscht. So, jetzt ist wieder Friede, Freude, Eierkuchen angesagt, oder? Gibt es noch ein nettes Tool, das mich auch weitere Schweinerein aufmerksam machen könnte? Wieso sind z.B. 15 Ports offen, wenn ich meinen Computer hochfahre? Ist das normal? Ich würde mich sehr über Kommentare freuen. TC Kosmo |
![]() | #2 |
Administrator > Competence Manager | ![]() virtumonde, trojan.inject + StartPage, vtsqo.dll, PurityScan, ZenoSearch, ljjihee.dll Hallo.
__________________![]() Führe zunächst folgende Anleitungen durch: Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.exe -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Gruß ![]() Sunny |
![]() | #3 |
![]() | ![]() virtumonde, trojan.inject + StartPage, vtsqo.dll, PurityScan, ZenoSearch, ljjihee.dll Hi Sunny,
__________________hier die entsprechenden Ergebnisse. Ich habe ComboFix.exe nicht laufen lassen, da im eScan folgende Zeile aufgetaucht ist: ComboFix.exe infiziert mit "NULL.corrupted" Virus Was macht dieses Programm eigentlich? Ertmal vG Kosmo Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:22:28, on 07.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Dokumente und Einstellungen\Schiemanns\Desktop\This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: LUMIX Simple Viewer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198376993296 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5191/mcfscan.cab O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe -- End of file - 4607 bytes ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.6.4 Sprache: German Virus-Datenbank Datum: 1/7/2008 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "perfwo Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Daten\Kai\aaa2\RESOURCE.FRK\LHA213.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Kais stuff\ComboFix.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\DOKUME~1\SCHIEM~1\LOKALE~1\Temp\NERO13890\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temp\NERO13890\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\temp\nero13890\toolbar.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\load !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Daten\Silke\Eudora5\SNOWCRAF.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X40KQYOQ\Nero-7.10.1.2_all_update[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XLCGEUFB\KillBox[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 138496 Gefundene Viren: 6 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 142 Dauer des Scans bisher: 00:27:15 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 22:56:54,07 Batchende: 22:57:04,18 |
![]() | #4 |
![]() | ![]() virtumonde, trojan.inject + StartPage, vtsqo.dll, PurityScan, ZenoSearch, ljjihee.dll Hallo nochmal, habe aufgrund der Fehlermeldungen selbst ein bisschen rungespielt. Das neue eScan Protokoll sieht ziemlich sauber aus (clean as a whistle!), oder? Muss ich ComboFix noch laufen lassen? Soll ich die Systemwiedrherstellung löschen? VG Kosmo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.6.4 Sprache: German Virus-Datenbank Datum: 1/7/2008 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Daten\Silke\Eudora5\SNOWCRAF.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X40KQYOQ\Nero-7.10.1.2_all_update[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XLCGEUFB\KillBox[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 138810 Gefundene Viren: 0 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 142 Dauer des Scans bisher: 00:27:43 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 0:44:33,54 Batchende: 0:45:01,15 |
![]() | #5 |
![]() | ![]() virtumonde, trojan.inject + StartPage, vtsqo.dll, PurityScan, ZenoSearch, ljjihee.dll Hallo, bitte den Link zu ComboFix.exe überarbeiten. Der führt nur zu einer Datei mit 0byte! Unbrauchbar! Kosmo |
![]() | #6 | |
Administrator > Competence Manager | ![]() virtumonde, trojan.inject + StartPage, vtsqo.dll, PurityScan, ZenoSearch, ljjihee.dllZitat:
Versuch es hiermit: ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!
__________________ --> virtumonde, trojan.inject + StartPage, vtsqo.dll, PurityScan, ZenoSearch, ljjihee.dll |
![]() |
Themen zu virtumonde, trojan.inject + StartPage, vtsqo.dll, PurityScan, ZenoSearch, ljjihee.dll |
8.tmp, check, computer, dateien, diverse, ellung, exe-dateien, freude, gefährlich, gelöscht, infected, infiziert, infizierte, infizierte dateien, internet, internet security, löschen, malware, mp3, namen, neu, norton internet security, ports, probleme, programme, security, seite, system volume information, tiere, trojan.inject, virtumonde, warum, windowssystem |