|
Plagegeister aller Art und deren Bekämpfung: TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO....Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.07.2008, 10:03 | #1 |
| TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO.... Hallo Leute, ich habe ein GROßES Problem mit dem scheiss Vundo Virus... Habe mir diese drecksau durch einen dummen fehler geholt! Bekomme ihn aber jetzt wohl nicht mehr weg. Habe schon einige sachen probiert wie, VundoFix, VirtumondeBeGone... Zurzeit läuft der AVZ gerade... Der VBG hat einiges gefunden und behoben, dachte ich zumindest... Hier mal das Log; [07/01/2008, 17:09:20] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\PC\Desktop\VirtumundoBeGone.exe" ) [07/01/2008, 17:09:29] - Detected System Information: [07/01/2008, 17:09:29] - Windows Version: 5.1.2600, Service Pack 2 [07/01/2008, 17:09:29] - Current Username: PC (Admin) [07/01/2008, 17:09:29] - Windows is in NORMAL mode. [07/01/2008, 17:09:29] - Searching for Browser Helper Objects: [07/01/2008, 17:09:29] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} () [07/01/2008, 17:09:29] - WARNING: BHO has no default name. Checking for Winlogon reference. [07/01/2008, 17:09:29] - No filename found. Continuing. [07/01/2008, 17:09:29] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader) [07/01/2008, 17:09:29] - BHO 3: {07AA283A-43D7-4CBE-A064-32A21112D94D} (Seekmo) [07/01/2008, 17:09:29] - BHO 4: {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} (Download Manager Browser Helper Object) [07/01/2008, 17:09:29] - BHO 5: {3049C3E9-B461-4BC5-8870-4C09146192CA} (RealPlayer Download and Record Plugin for Internet Explorer) [07/01/2008, 17:09:29] - BHO 6: {53707962-6f74-2d53-2644-206d7942484f} (Spybot-S&D IE Protection) [07/01/2008, 17:09:29] - BHO 7: {565e374a-23fd-4fa2-aed5-5209a37a544b} () [07/01/2008, 17:09:29] - WARNING: BHO has no default name. Checking for Winlogon reference. [07/01/2008, 17:09:29] - Checking for HKLM\...\Winlogon\Notify\ssqNDVoO [07/01/2008, 17:09:29] - Found: HKLM\...\Winlogon\Notify\ssqNDVoO - This is probably Virtumundo. [07/01/2008, 17:09:29] - Assigning {565e374a-23fd-4fa2-aed5-5209a37a544b} MSEvents Object [07/01/2008, 17:09:29] - BHO list has been changed! Starting over... [07/01/2008, 17:09:29] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} () [07/01/2008, 17:09:29] - WARNING: BHO has no default name. Checking for Winlogon reference. [07/01/2008, 17:09:29] - No filename found. Continuing. [07/01/2008, 17:09:29] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader) [07/01/2008, 17:09:29] - BHO 3: {07AA283A-43D7-4CBE-A064-32A21112D94D} (Seekmo) [07/01/2008, 17:09:29] - BHO 4: {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} (Download Manager Browser Helper Object) [07/01/2008, 17:09:29] - BHO 5: {3049C3E9-B461-4BC5-8870-4C09146192CA} (RealPlayer Download and Record Plugin for Internet Explorer) [07/01/2008, 17:09:29] - BHO 6: {53707962-6f74-2d53-2644-206d7942484f} (Spybot-S&D IE Protection) [07/01/2008, 17:09:29] - BHO 7: {565e374a-23fd-4fa2-aed5-5209a37a544b} (MSEvents Object) [07/01/2008, 17:09:29] - ALERT: Found MSEvents Object! [07/01/2008, 17:09:29] - BHO 8: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [07/01/2008, 17:09:29] - BHO 9: {7bc9c2e2-73a6-4fcf-b73d-cbaa20b31c9b} (788877 Class) [07/01/2008, 17:09:29] - Finished Searching Browser Helper Objects [07/01/2008, 17:09:29] - *** Detected MSEvents Object [07/01/2008, 17:09:29] - Trying to remove MSEvents Object... [07/01/2008, 17:09:30] - Terminating Process: IEXPLORE.EXE [07/01/2008, 17:09:31] - Terminating Process: RUNDLL32.EXE [07/01/2008, 17:09:31] - Disabling Automatic Shell Restart [07/01/2008, 17:09:31] - Terminating Process: EXPLORER.EXE [07/01/2008, 17:09:32] - Suspending the NT Session Manager System Service [07/01/2008, 17:09:32] - Terminating Windows NT Logon/Logoff Manager [07/01/2008, 17:09:32] - Re-enabling Automatic Shell Restart [07/01/2008, 17:09:32] - File to disable: C:\WINDOWS\system32\ssqNDVoO.dll [07/01/2008, 17:09:32] - Renaming C:\WINDOWS\system32\ssqNDVoO.dll -> C:\WINDOWS\system32\ssqNDVoO.dll.vir [07/01/2008, 17:09:33] - File successfully renamed! [07/01/2008, 17:09:33] - Removing HKLM\...\Browser Helper Objects\{565e374a-23fd-4fa2-aed5-5209a37a544b} [07/01/2008, 17:09:33] - Removing HKCR\CLSID\{565e374a-23fd-4fa2-aed5-5209a37a544b} [07/01/2008, 17:09:33] - Adding Kill Bit for ActiveX for GUID: {565e374a-23fd-4fa2-aed5-5209a37a544b} [07/01/2008, 17:09:33] - Deleting ATLEvents/MSEvents Registry entries [07/01/2008, 17:09:33] - Removing HKLM\...\Winlogon\Notify\ssqNDVoO [07/01/2008, 17:09:33] - Searching for Browser Helper Objects: [07/01/2008, 17:09:33] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} () [07/01/2008, 17:09:33] - WARNING: BHO has no default name. Checking for Winlogon reference. [07/01/2008, 17:09:33] - No filename found. Continuing. [07/01/2008, 17:09:33] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader) [07/01/2008, 17:09:33] - BHO 3: {07AA283A-43D7-4CBE-A064-32A21112D94D} (Seekmo) [07/01/2008, 17:09:33] - BHO 4: {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} (Download Manager Browser Helper Object) [07/01/2008, 17:09:33] - BHO 5: {3049C3E9-B461-4BC5-8870-4C09146192CA} (RealPlayer Download and Record Plugin for Internet Explorer) [07/01/2008, 17:09:33] - BHO 6: {53707962-6f74-2d53-2644-206d7942484f} (Spybot-S&D IE Protection) [07/01/2008, 17:09:33] - BHO 7: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [07/01/2008, 17:09:33] - BHO 8: {7bc9c2e2-73a6-4fcf-b73d-cbaa20b31c9b} (788877 Class) [07/01/2008, 17:09:33] - Finished Searching Browser Helper Objects [07/01/2008, 17:09:33] - Finishing up... [07/01/2008, 17:09:33] - A restart is needed. [07/01/2008, 17:09:33] - Automatic Reboot on STOP Error is not set. User will have to manually restart. [07/01/2008, 17:09:46] - Attempting to Restart via STOP error (Blue Screen!) Hier nun das Log von Hijack; Logfile of Trend Micro HijackThis v2.0.2 [edit] Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 Danke. Sunny [/edit] Habe diese Online auswerten lassen und da wurde alles für gut befunden !?! Mein Avira zeigt mir aber ständig diese sachen an und kann sie nicht löschen, In der Datei 'C:\RECYCLER\S-1-5-21-790525478-115176313-725345543-1004\Dc1096.exe' wurde ein Virus oder unerwünschtes Programm 'DR/Agent.BHO.I' [dropper] gefunden. In der Datei 'C:\Programme\Mozilla Firefox\keygen.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\System Volume Information\_restore{BFA5BFEA-146E-47FA-A66C-71ED334CB143}\RP514\A0078876.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\WINDOWS\system32\ssqNDVoO.dll.vir' wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Vundofix findet bei mir nichts mehr aber die sachen sind eindeutig noch da! Was soll ich denn jetzt nur machen, VERDAMMT ?!? Muss ich Neuaufsetzten??? Ich bitte um schnelle HILFE!!! Geändert von Sunny (02.07.2008 um 12:34 Uhr) |
02.07.2008, 11:44 | #2 |
| TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO.... Kann mir keiner helfen ????
__________________ |
02.07.2008, 12:11 | #3 |
| TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO.... Hallo und Herzlich Willkommen. Versuchen wir folgendes doch mal:
__________________1.) Run Combofix. Link mit Anleitung:Ein Leitfaden und Tutorium zur Nutzung von ComboFix. Danach Combofix-Logfile posten. 2) Run Malwarebytes Anti-Malware. Download und Anleitung:http://www.trojaner-board.de/51187-a...i-malware.html.Auch hier Log posten.
__________________ |
02.07.2008, 12:33 | #4 |
| TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO.... Habe ich soeben Probiert und fogendes Problem, ComboFix läuft durch bis 41 und dann bleibt es stehen !?! Da steht dann irrgendwas von dirroot... oder so. Das System Startet nicht neu und Speichert auch keine txt. Datei Habe Versucht Malwarebytes durchlaufen zu lassen, aber kurz vor schluß wird mir angezeigt, Programm reagiert nicht und muss geschlossen werden ! Das passiert mir mit AVZ auch... Was mach ich denn falsch ??? |
02.07.2008, 12:49 | #5 |
| TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO.... Du machst garnichts falsch. Da scheint der Trojaner sein Händchen im Spiel zu haben. Dann versuchen Wir folgendes:http://www.trojaner-board.de/42731-escan-anleitung.html. Bitte eScan nach der Anleitung duchrlaufen lassen und eventuelle Funde posten. (Inzwischen bete ich , das es funktioniert.)
__________________ Die Signatur wurde geklaut. |
02.07.2008, 12:52 | #6 |
| TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO.... Hallo Centaurus CoboFix sollte nur ausgeführt werden, wenn es von einem Kompetenzler angewiesen wurde. Führe erst einmal CCleaner aus.und dann noch Malwarebytes. Danach bitte noch ein neues HijackThis Log. Aber vor dem reinstellen aktive Links und Klarnamen editieren wie es @Sunny beschrieben hat. |
02.07.2008, 12:56 | #7 |
| TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO.... >blow-in: Da der PC warscheinlich mit Viren der Familie "Vundo" infiziert sind und VundoFix bzw. VirtumondeBeGone nicht einwandfrei funktionieren , dachte ich ComboFix würde helfen...Denn ComboFix ist in der Lage , diese Virenfamilie meistens mit Erfolg zu löschen. [EDIT]: Wieso sollte ComboFix nur von einem >>Kompetenzler<< ausgeführt werden ?
__________________ Die Signatur wurde geklaut. |
02.07.2008, 13:06 | #8 |
| TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO.... Lass dir dass mal von @Sunny erklären. Ich kann es nicht, außer dass man mit dem Combofix auch Schaden verursachen kann. |
02.07.2008, 13:25 | #9 |
| TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO.... Sooo, habe nun schon 4mal versucht Malwarebytes laufen zu lassen aber immer erscheint nach ca 10min. Programm reagiert nicht !!! Aber bis dahin hat es schon 45 Sachen gefunden... Hier der Hijack Log, Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:21, on 2008-07-02 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://de.rd.yahoo.com/customize/ycomp/defaults/sb/*Yahoo! Suchleiste R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ycomp/defaults/sp/*Yahoo! Deutschland R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*Yahoo! Deutschland O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [Alcohol.exe Autorun] C:\Programme\Alcohol Soft\Alcohol 120\Alcohol.exe /startup O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user') O8 - Extra context menu item: Namo SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Namo SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe (file missing) O16 - DPF: {0eb0e74a-2a76-4ab3-a7fb-9bd8c29f7f75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab[/url] O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url] O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: PnkBstrA (pnkbstra) - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 4540 bytes Was nun ??? |
02.07.2008, 13:36 | #10 |
| TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO.... Hattest du vorher den CCleaner ausgeführt und dort vor allen die Registry mehrmals nach Fehlern Scannen. Nun dann versuchen wir es mal mit http://www.trojaner-board.de/51871-a...tml#post324870 Ich mach erst mal Schluss für Heute. Bin dann morgen Früh wieder da. |
Themen zu TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO.... |
'tr/crypt.ulpm.gen', auswerten, avira, bho, browser, desktop, einstellungen, error, fehler, firefox, helper, hijack, hijackthis, hilfe!!, hilfe!!!, internet, internet explorer, mozilla, mozilla firefox, msevents, problem, programm, registry, rundll, schnelle hilfe, system, tr/crypt.ulpm.gen, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen', tr/crypt.xpack.gen' [trojan], tr/vundo.gen, vundo, windows |