![]() |
|
Plagegeister aller Art und deren Bekämpfung: virtumonde, trojan.inject + StartPage, vtsqo.dll, PurityScan, ZenoSearch, ljjihee.dllWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
![]() | ![]() virtumonde, trojan.inject + StartPage, vtsqo.dll, PurityScan, ZenoSearch, ljjihee.dll Hallo, ich möchte in diesem Board meine Erfahrungen mit einem Angriff auf meinem Computer zusammenfassen. Es wäre nett, wenn der eine oder andere – vielleicht mit ähnlichen Erfahrungen – diese kommentieren könnte oder die Experten dieser Seite zu der Stärke der Bedrohung Stellung nehmen könnten, die durch diverse Programme vermeintlich ausgeräumt würden. Ich habe von einer nicht vertrauenswürdigen Seite eine gezippte Datei heruntergeladen, die eine patch.exe und crack.exe enthielt. Nach positivem Check mit meiner „glorreichen“ Norton Internet Security habe ich diese ausgeführt, wobei Norton dann doch eine Bedrohung aufgefallen ist, die entfernt wurde (leider erinnere ich mich nicht mehr an den Namen). Anschließend fiel das Programm in seinen Schneewittchenschlaf zurück. Alamiert dadurch habe ich mir dann VundoFix.exe heruntergeladen, welches dann die VTSQO.exe und die FIYOQSRV.exe sowie die entsprechenden dlls gefunden und laut Protokoll gelöscht hat. Leider hat sich die VTSQO.dll laut Zeitstempel eine Minute später bereits reinstalliert und zwar so im Windowssystem, dass Vundofix.exe sie nicht mehr las Malware identifizieren konnte. Dazu später mehr. Schließlich habe ich einen Online-Scan mit Kasperski durchgeführt. Dieser zeigte mit folgende Bedrohungen: Trojan.Win32.Dialer.yz (patch.exe, gos100.tmp) Adware.Win32.PurityScan.gn Adware.Win32.ZenoSearch.ad Trojan.Win32.StartPage.atc (SuperFinderUSA.dll) Trojan.Win32.inject.mt (crack.exe) Adware.Win32.virtumonde.cli (Rcx28.tmp, rx23.tmp, rc12.tmp, usw.) Außerdem wurden folgende Dateien als Dialer infiziert angesehen: Drvfag.dll Winwim.dll Als mit Virtumonde infected wurden folgende Dateien identifiziert: DevDetect.exe Clistart.exe Lightscribecontrolpanel.exe Googletoolbarnotifier.exe Jusched.exe Msmsgs.exe Prevxcsi.exe Msconfig.exe.tmp Ctfmon.exe.tmp Gut, Norton wurde also zu diesem Zeitpunkt verdammt und wird nie wieder in die Nähe einer meiner Computer kommen, Kasperski installiert und alle Probleme erst mal behoben. Netterweise waren die betroffenen exe-Dateien noch in ihrem Originalzustand nur mit einem Leerzeichen vor den exe vorhanden und konnten somit durch Löschen dieses Leerzeichens wiederhergestellt werden (warum sollte man als Hacker so nett sein???). Weiterhin entfernt wurden die ljjihee.dll, hshslgbo.dll, tmp39.tmp und die ctfmon.exe. Kasperski hat dann noch alle Bedrohungen, die sich im System Volume Information befanden (insgesamt 269 infizierte Dateien) gelöscht. Da alle RestorePoints auch das Datum 7 Minuten nach der Infizierung trugen, habe ich diesen Bereich komplett gelöscht. Zusätzlich ließen sich die Windows-Updates nicht mehr installieren. Dazu musste einige Dateien neu registriert werden (wuapi.dll, wuaueng.dll, wuaueng1.dll, wucltui.dll, ...) Die einzige Datei, die alles überlebt hatte und weder von Kasperski noch von VundoFix.exe, ActiveScan oder prevxcsi als Bedrohung eingestuft wurde, war die VTSQO.dll. Diese wurde zwar von Security Task Manager als gefährlich eingestuft, konnte aber nicht von diesem entfernt werden Auch killbox.exe und Konsorten waren nicht in der Lage, diese zu löschen. Erst RegRun hat das Ding gekillt (Bravo!). Die replizierte Version in der System Volume Information wurde von Kasperski wieder erkannt und gelöscht. So, jetzt ist wieder Friede, Freude, Eierkuchen angesagt, oder? Gibt es noch ein nettes Tool, das mich auch weitere Schweinerein aufmerksam machen könnte? Wieso sind z.B. 15 Ports offen, wenn ich meinen Computer hochfahre? Ist das normal? Ich würde mich sehr über Kommentare freuen. TC Kosmo |
Themen zu virtumonde, trojan.inject + StartPage, vtsqo.dll, PurityScan, ZenoSearch, ljjihee.dll |
8.tmp, check, computer, dateien, diverse, ellung, exe-dateien, freude, gefährlich, gelöscht, infected, infiziert, infizierte, infizierte dateien, internet, internet security, löschen, malware, mp3, namen, neu, norton internet security, ports, probleme, programme, security, seite, system volume information, tiere, trojan.inject, virtumonde, warum, windowssystem |