| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.GWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
30.05.2008, 10:16
| #1 |
| |  Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G Hi, ich habe seit gestern ein Problem mit einem Virus. Laut meinem AntiVir-Programm handelt es sich um den Skriptvirus VBS/Agent.1002, der sich in den verschiedensten .tt...-Dateien einnistet oder diese selbst erstellt unter C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp . Die Folge ist, dass nach jedem Neustart das Hintergrundbild wechselt und mir die Warnung anzeigt: Warning!Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer Manchmal krabbeln auch für kurze Zeit Käfer über meinen Desktop und knabbern die Icons an. Es kam zuerst auch immer eine Liste hoch in der ich auswählen sollte, welches Programm ich kaufen will, bis ich den Button geklickt hab, dass ich ungescannt weiterarbeiten möchte. Ansonsten kann ich eigentlich normal arbeiten, ausser das ich das Gefühl hab das der Rechner langsamer ist als sonst. Ich habe mir auch mittels HJT ein log-file erstellt: Logfile of Trend Micro HijackThis v2.0.2 [edit] Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 Danke.  Sunny [/edit] Nachdem ich die log-file erstellt hatte, meldete mir mein AntiVir-Programm noch den Dropper DR/FraudTool.WinFixer.G . Hab jetzt ziemliche Bedenken, dass meine Daten eingesehen werden können. Könnt ihr mir helfen? Schönen Gruss Severin Geändert von Sunny (30.05.2008 um 13:48 Uhr) |
|
30.05.2008, 10:27
| #2 |
 | Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G Hallo Severin77,
__________________folgende Dateien Online auswerten lassen: Code:
ATTFilter C:\WINDOWS\SYSTEM32\ljJCtqoL.dll
C:\WINDOWS\system32\gperfppr.dll
C:\WINDOWS\system32\ctfmona.exe
C:\WINDOWS\system32\ljJCtqoL.dll
C:\WINDOWS\system32\ljJARhIc.dll
Poste alles auch wenn nix gefunden wird, einschließlich der dort angegebenen größe sowie der Prüfsumme der Datei! Wie man alle Dateien sichtbar macht, kannst du ebenfalls aus meiner Sig entnehmen! Mache danach einen Scan mit Malwarebytes (möglichst im abgesicherten Modus)! Lasse alles löschen was er findet und Poste das Log sowie ein neues HijackThis Log! Gruß Mello
__________________ |
|
30.05.2008, 12:37
| #3 |
| | Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G Hi mellosun,
__________________ich habe die dateien mit Virustotal auswerten lassen: datei C:\WINDOWS\SYSTEM32\ljJCtqoL.dll: VirusTotal - Kostenloser online Viren- und Malwarescanner -Ergebnis Page 1 of 3 | ..... | | Slovenšcina | Dansk | ....... | Româna | Türkçe | Nederlands | ........ | Français | Svenska | Português | Italiano | | | Magyar | Cesky | Polski | Español | English Virustotal analysiert verdächtige Dateien und erleichtert die schnelle Erkennung von Viren, Würmern, Trojanern und jeglicher Art von Malware, welche von den Antivirus-Engines festgestellt werden. Weitere Informationen... Datei ljJCtqoL.dll empfangen 2008.05.30 11:37:36 (CET) Status: Beendet Ergebnis: 2/32 (6.25%) Drucken der Ergebnisse Filter Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.30.1 2008.05.30 - AntiVir 7.8.0.24 2008.05.30 - Authentium 5.1.0.4 2008.05.29 - Avast 4.8.1195.0 2008.05.29 - AVG 7.5.0.516 2008.05.29 - BitDefender 7.2 2008.05.30 - CAT-QuickHeal 9.50 2008.05.29 - ClamAV 0.92.1 2008.05.30 - DrWeb 4.44.0.09170 2008.05.30 - eSafe 7.0.15.0 2008.05.29 - eTrust-Vet 31.4.5834 2008.05.29 - Ewido 4.0 2008.05.29 - F-Prot 4.4.4.56 2008.05.29 - F-Secure 6.70.13260.0 2008.05.30 - Fortinet 3.14.0.0 2008.05.30 - GData 2.0.7306.1023 2008.05.30 - Ikarus T3.1.1.26.0 2008.05.30 - Kaspersky 7.0.0.125 2008.05.30 - McAfee 5306 2008.05.29 - Microsoft 1.3520 2008.05.30 Trojan:Win32/Vundo.gen!C NOD32v2 3145 2008.05.29 - Norman 5.80.02 2008.05.29 - Panda 9.0.0.4 2008.05.29 - Virustotal. MD5: be57f2b5facbcdac944f10b5b8acc78b Trojan:Win32/Vundo.gen!C Fraudulent Security Program 30.05.2008 VirusTotal - Kostenloser online Viren- und Malwarescanner -Ergebnis Page 2 of 3 Prevx1 V2 2008.05.30 Fraudulent Security Program Rising 20.46.40.00 2008.05.30 - Sophos 4.29.0 2008.05.30 - Sunbelt 3.0.1139.1 2008.05.29 - Symantec 10 2008.05.30 - TheHacker 6.2.92.325 2008.05.30 - VBA32 3.12.6.6 2008.05.30 - VirusBuster 4.3.26:9 2008.05.29 - Webwasher- Gateway 6.6.2 2008.05.30 - weitere Informationen File size: 33408 bytes MD5...: be57f2b5facbcdac944f10b5b8acc78b SHA1..: 80ad65248ee60210e7c448e98060b00a063211aa SHA256: 46dc7ac788b94d0e2c1f6c83149346cda2f8f405f9d1f9378dedc6cec35e1586 SHA512: aaa4c46368fe0dca3ffca1def734ad53167346af9f90e81fc5d1871bb0143be6 722089d500b3cc69c935b14f0975ffe4f431d3cb4cbcb7346b0cffcdf8066332 PEiD..: Armadillo v1.xx - v2.xx PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1000106c timedatestamp.....: 0x4821945b (Wed May 07 11:36:59 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2000 0x2000 5.03 59a49d0bf0c4009555cdc007723df394 BSS 0x3000 0x2000 0x1800 2.16 35dfc25d4b7eb3a1f8572f1add53acbc CODE 0x5000 0x1000 0xa00 7.93 112bfd01851c30793eceaa655c2b63bf BSS 0x6000 0x2000 0x1600 7.96 fbdfde627d250cd6e527ca6dae707ecc .data 0x8000 0x8000 0x2680 7.87 ac32b7d3c310bda3d3f291aef82551db ( 5 imports ) > kernel32.dll: CloseHandle, CreateFileA, DeleteCriticalSection, DeleteFileA, EnterCriticalSection, GetFileSize, GetFileType, GetProcAddress, InitializeCriticalSection, LeaveCriticalSection, LoadLibraryA, OpenMutexA, OpenProcess, ResumeThread, Sleep, TerminateThread, VirtualAlloc, VirtualFree, VirtualProtect, WaitForSingleObject, WinExec > user32.dll: BeginPaint, GetCapture, GetCursorPos, GetDC, GetSystemMetrics, GetWindow, GetWindowDC, GetWindowDC, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage > gdi32.dll: CombineRgn, CreateBrushIndirect, CreateCompatibleBitmap, CreateCompatibleDC, CreateDIBSection, CreateRectRgn, CreateSolidBrush, DeleteDC, DeleteObject, GetDeviceCaps, GetPixel, GetStockObject, MoveToEx, Virustotal. MD5: be57f2b5facbcdac944f10b5b8acc78b Trojan:Win32/Vundo.gen!C Fraudulent Security Program 30.05.2008 VirusTotal - Kostenloser online Viren- und Malwarescanner -Ergebnis Page 3 of 3 Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, StretchBlt, TextOutA > shell32.dll: DragAcceptFiles, SHBrowseForFolder> comdlg32.dll: ChooseColorA, ChooseFontA, GetSaveFileNameA ( 0 exports ) Prevx info: Prevx - Helping You Fix The Threats That Others Miss PX5=AFAFA67F802439F282A0002DDDE82A00FCD0ACD2 datei C:\WINDOWS\system32\gperfppr.dll Virustotal. MD5: 2686a8107dd1af193c9764e9e165675e Trojan:Win32/Vundo.gen!E ... Page 1 of 3 | ..... | | Slovenšcina | Dansk | ....... | Româna | Türkçe | Nederlands | ........ | Français | Svenska | Português | Italiano | | | Magyar | Cesky | Polski | Español | English Virustotal analysiert verdächtige Dateien und erleichtert die schnelle Erkennung von Viren, Würmern, Trojanern und jeglicher Art von Malware, welche von den Antivirus-Engines festgestellt werden. Weitere Informationen... Datei mysnsnma.dll empfangen 2008.05.30 04:07:53 (CET) Status: Beendet Ergebnis: 5/32 (15.62%) Drucken der Ergebnisse Filter Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.29.0 2008.05.29 - AntiVir 7.8.0.24 2008.05.29 - Authentium 5.1.0.4 2008.05.29 - Avast 4.8.1195.0 2008.05.29 Win32:Vundo@dll AVG 7.5.0.516 2008.05.29 - BitDefender 7.2 2008.05.30 - CAT-QuickHeal 9.50 2008.05.29 - ClamAV 0.92.1 2008.05.29 - DrWeb 4.44.0.09170 2008.05.29 - eSafe 7.0.15.0 2008.05.29 - eTrust-Vet 31.4.5834 2008.05.29 - Ewido 4.0 2008.05.29 - F-Prot 4.4.4.56 2008.05.29 - F-Secure 6.70.13260.0 2008.05.30 - Fortinet 3.14.0.0 2008.05.29 - GData 2.0.7306.1023 2008.05.29 Win32:Vundo Ikarus T3.1.1.26.0 2008.05.30 - Kaspersky 7.0.0.125 2008.05.30 - McAfee 5306 2008.05.29 - Microsoft 1.3520 2008.05.30 Trojan:Win32/Vundo.gen!E NOD32v2 3145 2008.05.29 - Norman 5.80.02 2008.05.29 - Panda 9.0.0.4 2008.05.29 - Virustotal. MD5: 2686a8107dd1af193c9764e9e165675e Trojan:Win32/Vundo.gen!E Win32:Vundo@dll Win32:Vundo 30.05.2008 Virustotal. MD5: 2686a8107dd1af193c9764e9e165675e Trojan:Win32/Vundo.gen!E ... Page 2 of 3 Prevx1 V2 2008.05.30 Fraudulent Security Program Rising 20.46.32.00 2008.05.29 - Sophos 4.29.0 2008.05.30 - Sunbelt 3.0.1139.1 2008.05.29 - Symantec 10 2008.05.30 - TheHacker 6.2.92.325 2008.05.30 - VBA32 3.12.6.6 2008.05.29 - VirusBuster 4.3.26:9 2008.05.29 - Webwasher- Gateway 6.6.2 2008.05.29 Win32.Malware.gen (suspicious) weitere Informationen File size: 95232 bytes MD5...: 2686a8107dd1af193c9764e9e165675e SHA1..: 93da0493fc90ea5c6f32be86aa8ee3cd8236b718 SHA256: 7e14df5de7cd827d809aea6476da63625b76163ca510364be3f5b5404cce4df4 SHA512: 7e53e7069e053627172ac4d27612ccf846f6fe3dbb22f1a2d6a4962634d8d450 6f56119bdcf65df1d017d9a9f2793f1346118a37e83439318d66ea2418f987f5 PEiD..: Armadillo v1.xx - v2.xx PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10001377 timedatestamp.....: 0x483c23d4 (Tue May 27 15:08:04 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2000 0x2000 5.00 63b00a5bfe983ff0d3b2856d328abf57 .code 0x3000 0x2000 0x1800 1.96 f356ca0d51224a1301b0a2634b8dc267 BSS 0x5000 0x5000 0x4c00 7.99 4dfdb978cc033d408dc424760e80f624 .idata 0xa000 0x3000 0x3000 7.99 c25af4ae4f535e4fc1a5bfb7d10f44c6 .rsrc 0xd000 0x19000 0xa200 7.98 100f76f990c3ce105d858e8d09c4bc9a ( 4 imports ) > kernel32.dll: ExitProcess, FindClose, FindFirstFileA, FreeLibrary, GetCommandLineA, GetCurrentThreadId, GetLastError, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, LoadLibraryA, lstrcpyn, lstrlen, MultiByteToWideChar, ReadFile, SetEndOfFile, SetFilePointer, UnhandledExceptionFilter, VirtualAlloc, VirtualFree, VirtualProtect, WideCharToMultiByte, WriteFile > user32.dll: BeginPaint, GetSystemMetrics, GetWindow, GetWindowDC, GetWindowDC, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture > gdi32.dll: SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA > shell32.dll: DllRegisterServer, DllUnregisterServer, DragFinish, DragQueryFile, DragQueryPoint, Shell_NotifyIcon, ShellExecuteA Virustotal. MD5: 2686a8107dd1af193c9764e9e165675e Trojan:Win32/Vundo.gen!E Win32:Vundo@dll Win32:Vundo 30.05.2008 Virustotal. MD5: 2686a8107dd1af193c9764e9e165675e Trojan:Win32/Vundo.gen!E ... Page 3 of 3 ( 0 exports ) Prevx info: Prevx - Helping You Fix The Threats That Others Miss PX5=188F9B70003F9A8D741A012DDDE82A0047D155E8 datei C:\WINDOWS\system32\ctfmona.exe: Virustotal. MD5: 850de4050fefcbbb6f3e631020557ea6 HEUR/Malware W32/Tibs.K.... Page 1 of 2 | ..... | | Slovenšcina | Dansk | ....... | Româna | Türkçe | Nederlands | ........ | Français | Svenska | Português | Italiano | | | Magyar | Cesky | Polski | Español | English Virustotal analysiert verdächtige Dateien und erleichtert die schnelle Erkennung von Viren, Würmern, Trojanern und jeglicher Art von Malware, welche von den Antivirus-Engines festgestellt werden. Weitere Informationen... Datei 1 empfangen 2008.05.29 11:26:13 (CET) Status: Beendet Ergebnis: 7/32 (21.88%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 --- AntiVir --HEUR/Malware Authentium --W32/Tibs.K.gen!Eldorado Avast --- AVG --- BitDefender --- CAT-QuickHeal --(Suspicious) -DNAScan ClamAV --- DrWeb --- eSafe --Suspicious File eTrust-Vet --- Ewido --- F-Prot --W32/Tibs.K.gen!Eldorado F-Secure --- Fortinet --- GData --- Ikarus --- Kaspersky --- McAfee --- Microsoft --- NOD32v2 --- Norman --- Panda --- Prevx1 --Cloaked Malware Rising --- Sophos --- Sunbelt --- Symantec --- TheHacker --- VBA32 --- VirusBuster --- Webwasher-Gateway --Heuristic.Malware weitere Informationen MD5: 850de4050fefcbbb6f3e631020557ea6 SHA1: 381b942b64094cc82a6bcde4fc685b14bb506850 SHA256: a57dc4891ad040b97d53dc9a03e583cb2bb8ba044d63d208e2141dc593a32bf8 SHA512: 5839a0842111bd818d6c9e03e7a58700bc3a8e26e33235a34eec91808afa5f5157063a6ffdd6bfb48d795f2525edcd25d9f9138930 datei C:\WINDOWS\system32\ljJARhIc.dll: VirusTotal - Kostenloser online Viren- und Malwarescanner -Ergebnis Page 1 of 3 | ..... | | Slovenšcina | Dansk | ....... | Româna | Türkçe | Nederlands | ........ | Français | Svenska | Português | Italiano | | | Magyar | Cesky | Polski | Español | English Virustotal analysiert verdächtige Dateien und erleichtert die schnelle Erkennung von Viren, Würmern, Trojanern und jeglicher Art von Malware, welche von den Antivirus-Engines festgestellt werden. Weitere Informationen... Datei ljJARhIc.dll empfangen 2008.05.30 11:47:22 (CET) Status: Beendet Ergebnis: 8/32 (25%) Drucken der Ergebnisse Filter Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.30.1 2008.05.30 - AntiVir 7.8.0.24 2008.05.30 - Authentium 5.1.0.4 2008.05.29 - Avast 4.8.1195.0 2008.05.29 Win32:Vundo@dll AVG 7.5.0.516 2008.05.29 Vundo BitDefender 7.2 2008.05.30 - CAT-QuickHeal 9.50 2008.05.29 - ClamAV 0.92.1 2008.05.30 - DrWeb 4.44.0.09170 2008.05.30 - eSafe 7.0.15.0 2008.05.29 - eTrust-Vet 31.4.5834 2008.05.29 - Ewido 4.0 2008.05.29 - F-Prot 4.4.4.56 2008.05.29 - F-Secure 6.70.13260.0 2008.05.30 Vundo.gen148 Fortinet 3.14.0.0 2008.05.30 - GData 2.0.7306.1023 2008.05.30 Win32:Vundo Ikarus T3.1.1.26.0 2008.05.30 - Kaspersky 7.0.0.125 2008.05.30 - McAfee 5306 2008.05.29 - Microsoft 1.3520 2008.05.30 - NOD32v2 3145 2008.05.29 - Norman 5.80.02 2008.05.29 Vundo.gen148 Panda 9.0.0.4 2008.05.29 - Virustotal. MD5: 33d4bde52a7a184a6e70df151c40792a Vundo.gen148 Win32:Vundo@dll Vundo 30.05.2008 VirusTotal - Kostenloser online Viren- und Malwarescanner -Ergebnis Page 2 of 3 Prevx1 V2 2008.05.30 Fraudulent Security Program Rising 20.46.40.00 2008.05.30 Trojan.Win32.Virtumod.ak Sophos 4.29.0 2008.05.30 - Sunbelt 3.0.1139.1 2008.05.29 - Symantec 10 2008.05.30 - TheHacker 6.2.92.325 2008.05.30 - VBA32 3.12.6.6 2008.05.30 - VirusBuster 4.3.26:9 2008.05.29 - Webwasher- Gateway 6.6.2 2008.05.30 Win32.Malware.gen!90 (suspicious) weitere Informationen File size: 322816 bytes MD5...: 33d4bde52a7a184a6e70df151c40792a SHA1..: 77baf5b85494dd5094b9509810b2fd55923d63f1 SHA256: aefa43cebcc55b00cb2121c17c91c95f7acb29760862a73c7a2ed8427894104b SHA512: e2721cb47b825db5a32d5343366c1c1edc77f91f503964ebac04882b60dcc054 44d3d249c4da79d124ac8792f1b7684c915c9c62ef0035b2d3d3788c77bfb5a8 PEiD..: Armadillo v1.xx - v2.xx PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100012cd timedatestamp.....: 0x483d66b0 (Wed May 28 14:05:36 2008) machinetype.......: 0x14c (I386) ( 8 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2000 0x2000 5.04 da68a22e6a5256c58730770dc1b6e6b2 BSS 0x3000 0x2000 0x1800 2.19 dac72fb925acf2de3aa47c7b7622358e .rdata 0x5000 0x8000 0x7c00 7.99 e85ae8f9421caaedcc0970c65a2916cd .data 0xd000 0x2000 0x1200 7.96 8013723f66908a2c5bc3d2fe912b1363 CRT 0xf000 0x7000 0x6800 7.99 6734f1c71983c9381cd62cebb88611a2 CRT 0x16000 0x9000 0x8200 7.99 516f7f335e5adaaab72785a8b8612311 CODE 0x1f000 0x7000 0x6c00 7.99 c98076248494c8812b9ba7b97f4bd546 .data 0x26000 0x77000 0x2cd00 8.00 29e0c17cd90b9f24a558f1f300e59ec3 ( 3 imports ) > kernel32.dll: GetProcAddress, LoadLibraryA, VirtualAlloc, VirtualFree, VirtualProtect, WinExec > user32.dll: BeginPaint, CreateMenu, CreateWindowExA, DestroyCursor, DestroyWindow, EndPaint, ExitWindowsEx, FindWindowExA, GetCapture, GetCursorPos, GetDC, GetSystemMetrics, GetWindow, GetWindowDC, GetWindowDC, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture, ReleaseDC, SendMessageA, SetCursor, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA, TranslateMessage, UpdateWindow, ValidateRect, WaitMessage, wvsprintfA Virustotal. MD5: 33d4bde52a7a184a6e70df151c40792a Vundo.gen148 Win32:Vundo@dll Vundo 30.05.2008 VirusTotal - Kostenloser online Viren- und Malwarescanner -Ergebnis Page 3 of 3 > gdi32.dll: CombineRgn, CreateBrushIndirect, CreateCompatibleBitmap, CreateCompatibleDC, GetPixel, GetStockObject, MoveToEx, Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA ( 0 exports ) Prevx info: Prevx - Helping You Fix The Threats That Others Miss PX5=97EFDAE300756E45ED98042DDDE82A00026BDE06 |
|
30.05.2008, 12:38
| #4 |
| | Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G Und hier noch die log-files: Das log von Malwarebytes: Malwarebytes' Anti-Malware 1.14 Datenbank Version: 800 12:58:35 30.05.2008 mbam-log-5-30-2008 (12-58-23).txt Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 154270 Scan Dauer: 1 hour(s), 3 minute(s), 41 second(s) Infizierte Speicher Prozesse: 1 Infizierte Speicher Module: 3 Infizierte Registrierungsschlüssel: 13 Infizierte Registrierungswerte: 7 Infizierte Datei Objekte der Registrierung: 1 Infizierte Verzeichnisse: 12 Infizierte Dateien: 23 Infizierte Speicher Prozesse: C:\WINDOWS\system32\ctfmona.exe (Trojan.Downloader) -> No action taken. Infizierte Speicher Module: C:\WINDOWS\system32\gperfppr.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\ljJCtqoL.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\ljJARhIc.dll (Trojan.Vundo) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{bc53e890-2693-4906-b6bd-bc2e293079f0} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bc53e890-2693-4906-b6bd-bc2e293079f0} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljjctqol (Trojan.Vundo) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{44fdc3b8-208d-4dc8-add4-2a9ba36c3e27} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44fdc3b8-208d-4dc8-add4-2a9ba36c3e27} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4c1e578d (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bc53e890-2693-4906-b6bd-bc2e293079f0} (Trojan.Vundo) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\ConvertedWallpaper (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmona (Trojan.Downloader) -> No action taken. Infizierte Datei Objekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ljjarhic -> No action taken. Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine (Rogue.AdvancedXPFixer) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun (Rogue.AdvancedXPFixer) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\BrowserObjects (Rogue.AdvancedXPFixer) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Packages (Rogue.AdvancedXPFixer) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU (Rogue.AdvancedXPFixer) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM (Rogue.AdvancedXPFixer) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuAllUsers (Rogue.AdvancedXPFixer) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuCurrentUser (Rogue.AdvancedXPFixer) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU\RunOnce (Rogue.AdvancedXPFixer) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM\RunOnce (Rogue.AdvancedXPFixer) -> No action taken. Infizierte Dateien: C:\WINDOWS\system32\gperfppr.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\ljJCtqoL.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\ljJARhIc.dll (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094296.scr (Trojan.Agent) -> No action taken. C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094375.dll (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094391.scr (Trojan.Agent) -> No action taken. C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094418.scr (Trojan.Agent) -> No action taken. C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094437.scr (Trojan.Agent) -> No action taken. C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094452.scr (Trojan.Agent) -> No action taken. C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094473.scr (Trojan.Agent) -> No action taken. C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094493.scr (Trojan.Agent) -> No action taken. C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094511.scr (Trojan.Agent) -> No action taken. C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP631\A0094528.scr (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\blackster.scr (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\ctfmonb.bmp (Malware.Trace) -> No action taken. C:\WINDOWS\system32\hgGvUoop.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> No action taken. C:\Dokumente und Einstellungen\Balu&Gimli\Lokale Einstellungen\Temp\nyps4.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\ctfmona.exe (Trojan.Downloader) -> No action taken. Und zu guter letzt das log von HJT: Logfile of Trend Micro HijackThis v2.0.2 [edit] Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 Danke. Sunny [/edit] Kannst du damit was anfangen und mir weiterhelfen? Gruss Severin Geändert von Sunny (30.05.2008 um 13:49 Uhr) |
|
30.05.2008, 12:51
| #5 |
| | Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G Hast du Malwarebytes alles löschen lassen? Laut Bericht nicht, es sei den, du hast erst den Bericht kopiert und dann Löschen lassen? Laut HijackThis denke ich ja.... Mache nochmals den Scan mit HijackThis und und setze vor folgende Einträge ein Hacken: Code:
ATTFilter O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O23 - Service: Boonty Games - Unknown owner - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe (file missing)
Ist Dir diese Seite bekannt: Code:
ATTFilter O14 - IERESET.INF: START_PAGE_URL=http://internet.sunrise.ch/de/hom/default.asp
Hast du noch Probleme? Wie verhält sich der Rechner im Moment? |
|
30.05.2008, 13:13
| #6 |
| | Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G Hi, du hattest Recht, ich habe das log-file von Malwarebytes vor dem Löschen der Dateien angelegt. Habe jetzt nach dem Neustart nochmals einen Scan mit HJT gemacht. Hier die log-file: Logfile of Trend Micro HijackThis v2.0.2 [edit] Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 Danke. Sunny [/edit] Ob mein Rechner inzwischen wieder schneller geworden ist, kann ich noch nicht so wirklich beurteilen. Auf jeden Fall ist aber die Warnung auf dem Desktophintergrund verschwunden. Als ich nach dem Scan von Malwarebytes einen Neustart gemacht hab, hat mein AntiVir die von dir genannten Dateien angemahnt. nach dem letzten Neustart kamen die Meldungen jetzt jedenfalls nicht mehr. Hoffe jetzt einfach, dass ich keine infizierten Dateien mehr hab. Gruss Micha Geändert von Sunny (30.05.2008 um 13:52 Uhr) |
|
30.05.2008, 13:43
| #7 |
| | Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G Also, Dein Log sieht meiner Meinung nach ok aus! Noch nen Tip: Räume mal Dein Autostart aus...da muss nicht die halbe Software sterten, die auf Deinem Rechner ist! Das sind die Autostart Programme: Code:
ATTFilter O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe "
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [_Alcohol.exe Autorun] C:\Programme\Alcohol Soft\Alcohol 120\_Alcohol.exe /startup
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
Ich würde alle Hacken entfernen ausser: Pestpatrol (wenn du es unbedingt brauchst) AntiVir den Rest würde ich alles rauschmeißen...kann man auch durch doppelklick normal Starten, wenn benötigt! Ist meine meinung und nur ein Tip.....  Gruß Mello |
|
30.05.2008, 14:21
| #8 |
| | Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G Hi, ich hoffe, du hast Recht und es ist jetzt wieder alles in Ordnung. Vielen Dank auf jeden Fall für deine Hilfe und deinen Tipp mit dem Autostart. Schönen Gruss Severin |
|
| Themen zu Skriptvirus VBS/Agent.1002 und Dropper DR/FraudTool.WinFixer.G |
| antivirus, button, clean, computer, desktop, detected, dropper, einstellungen, folge, handel, helfen, hijack, hijackthis, icons, links, log-file, micro, neustart, problem, rechner, remover, spyware, temp, trend, vbs/agent.1002, virus, warnung |
Linear-Darstellung
