|
Log-Analyse und Auswertung: Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckigWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.07.2008, 19:20 | #1 |
| Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig Hallo! Toll, dass es dieses Forum gibt! Ich habe mir vor ein zwei Tage etwas eingefangen. Mit der neusten Version von Spybot konnte ich Virtumonde finden und vernichten , ist seitdem nicht mehr aufgetaucht. Dann habe ich noch mal Malwarebytes' laufen lassen, das hat noch so einiges vom Vundo-Trojaner aufgedeckt. Habe ich natürlich entfernen lassen, und dann war's auch weg (hab auch Vundofix mehrmals ohne Ergebnis laufen lassen). Beim letzten Scan gerade waren allerdings wieder ein paar Dateien dabei. Was sich hartnäckig hält, ist das Problem mit dem iexplore.exe-Prozess, der nach Beendung immer wieder auftaucht, samt hin und wieder Werbepop-ups. Ebenso der Registry Key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan", der bei jedem Scan wieder da ist (nach Neustart jedenfalls, hab jetzt nicht im Kopf, ob ich auch mal zwei Mal ohne Neustart gescannt hab...). Hab schon die anderen Threads zu dem Thema gelesen, aber ohne einen speziellen Tipp komm ich selbst nicht weiter. Hier erst mal das Log meiner letzten Malwarebytes'-Aktion: Code:
ATTFilter Malwarebytes' Anti-Malware 1.20 Datenbank Version: 941 Windows 5.1.2600 Service Pack 2 19:43:31 12.07.2008 mbam-log-7-12-2008 (19-43-31).txt Scan Art: Komplett Scan (C:\|D:\|E:\|) Objekte gescannt: 140592 Scan Dauer: 49 minute(s), 13 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\jkkHXPGX.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\jkkIBUon.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{595D2CB6-6E96-420B-91FF-42CFD364B4D8}\RP135\A0046701.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{595D2CB6-6E96-420B-91FF-42CFD364B4D8}\RP135\A0046702.dll (Trojan.Vundo) -> Quarantined and deleted successfully. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:46:30, on 12.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\XpertVision\TBPanel.exe C:\meinName\Internetprogramme\SpyBot1-6\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\FSI\F-Prot\fpavupdm.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\udG7Dl7w.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\meinName\Internetprogramme\HijackThis\HjT2-0-2.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: {e4b4f41e-4616-0f9b-1d94-75077a9390f1} - {1f0939a7-7057-49d1-b9f0-6164e14f4b4e} - C:\WINDOWS\system32\npfirj.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\meinName\INTERN~1\SPYBOT~2\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\meinName\Internetprogramme\SpyBot1-6\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [MSServer] rundll32.exe C:\DOKUME~1\LOCALS~1\LOKALE~1\Temp\jkkHXPGX.dll,#1 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\andreas\INTERN~1\SPYBOT~2\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\meinName\INTERN~1\SPYBOT~2\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4607 bytes PS: Einfach eine Systemwiederherstellung ist wahrscheinlich kein Mittel gegen sowas...? |
12.07.2008, 19:44 | #2 |
| Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig hey, ich hatte vor ein paar wochen das selbe problem:
__________________http://************************/dboard/showthread.php?tid=460 hoffe das hilft |
12.07.2008, 19:55 | #3 |
| Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig Danke, aber hattest du auch immer diesen iexplore-Prozess im Taskmanager? Wenn man hier um Hilfe fragt, soll man ja erstmal abwarten, was die Experten sagen, sonst gibt's nur Verwirrung, wenn man zwischendurch was macht.
__________________Was ich noch vergessen hatte: manchmal spielt er auch Audiodateien im Hintergrund. Einmal ne Werbung und gerade einfach nur ein längeres Geräusch...? Geändert von Psychobyte (12.07.2008 um 20:05 Uhr) |
12.07.2008, 22:02 | #4 |
| Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig (Liegt das nur an der Zeit oder warum find ich den edit-Button nicht mehr...? sorry) Ich hab grad nochmal gescannt, ohne Neustart zwischendurch, der RegKey war trotzdem schon wieder da. |
12.07.2008, 22:24 | #5 | ||
Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig Hallo Psychobyte, Erstmal folgendes: Virtumonde ist ein Trivialname für Vundo, das mit dem Audiogeräusch ist mit Sicherheit ein Popup, den du blockst, nur die Audiogeräusche halt nicht. Prüfe mal folgende Dateien bei VirusTotal - Free Online Virus and Malware Scan : Zitat:
Zitat:
mfg |
13.07.2008, 09:32 | #6 |
| Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig Hier das Ergebnis der ersten Datei: Code:
ATTFilter Datei udG7Dl7w.exe empfangen 2008.07.13 10:19:14 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.11 - AntiVir 7.8.0.64 2008.07.11 TR/Crypt.ULPM.Gen Authentium 5.1.0.4 2008.07.13 - Avast 4.8.1195.0 2008.07.13 Win32:Trojan-gen {Other} AVG 7.5.0.516 2008.07.12 Generic10.BBXO BitDefender 7.2 2008.07.13 - CAT-QuickHeal 9.50 2008.07.11 - ClamAV 0.93.1 2008.07.13 - DrWeb 4.44.0.09170 2008.07.12 - eSafe 7.0.17.0 2008.07.10 Suspicious File eTrust-Vet 31.6.5949 2008.07.12 - Ewido 4.0 2008.07.12 - F-Prot 4.4.4.56 2008.07.13 - F-Secure 7.60.13501.0 2008.07.12 - Fortinet 3.14.0.0 2008.07.13 - GData 2.0.7306.1023 2008.07.13 Trojan-Downloader.Win32.Agent.vyy Ikarus T3.1.1.26.0 2008.07.13 Trojan.Crypt.ULPM Kaspersky 7.0.0.125 2008.07.13 Trojan-Downloader.Win32.Agent.vyy McAfee 5337 2008.07.11 - Microsoft 1.3704 2008.07.13 - NOD32v2 3263 2008.07.11 probably unknown NewHeur_PE virus Norman 5.80.02 2008.07.11 - Panda 9.0.0.4 2008.07.12 Suspicious file Prevx1 V2 2008.07.13 Malicious Software Rising 20.52.61.00 2008.07.13 - Sophos 4.31.0 2008.07.13 Mal/HckPk-A Sunbelt 3.1.1536.1 2008.07.12 - Symantec 10 2008.07.13 - TheHacker 6.2.96.378 2008.07.13 - TrendMicro 8.700.0.1004 2008.07.11 PAK_Generic.001 VBA32 3.12.6.9 2008.07.12 - VirusBuster 4.5.11.0 2008.07.12 - Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Crypt.ULPM.Gen weitere Informationen File size: 35842 bytes MD5...: 864f0d4577cd999eaba97ecdb9eaf10e SHA1..: 60fd8207303048309ad5ada2cf3a9f823cc07c82 SHA256: ec9e2589d4b6c58c600a61a2d0948db2e59108ad1a1f9399da811c72c7a8f80e SHA512: 03c265e9434a77f06e3b5e34935a5ef63c7df466cc9db1d24cd9fed53fa17330<br>d48100ad66f7500f06ba8586c6455433bac8a3ef072e9fda49d9b144bca8e9b6 PEiD..: - PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4141f9<br>timedatestamp.....: 0x4877a369 (Fri Jul 11 18:16:09 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>UPX1 0xc000 0x9000 0x8400 7.98 2b99c4cb98f3455ab2349ca9fa649b29<br>UPX2 0x15000 0x1000 0x400 2.73 af8114c7acc7de4abf32e98010e97503<br><br>( 9 imports ) <br>> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<br>> ADVAPI32.dll: RegCloseKey<br>> NETAPI32.dll: NetScheduleJobAdd<br>> ole32.dll: CoInitialize<br>> OLEAUT32.dll: -<br>> SHELL32.dll: StrChrA<br>> SHLWAPI.dll: StrDupA<br>> USER32.dll: wsprintfA<br>> WININET.dll: InternetOpenA<br><br>( 0 exports ) <br> Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=ED1D8D4E02FBC4108CC3006981F6B20011108E66 Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.11 - AntiVir 7.8.0.64 2008.07.11 TR/Crypt.ULPM.Gen Authentium 5.1.0.4 2008.07.13 - Avast 4.8.1195.0 2008.07.13 Win32:Trojan-gen {Other} AVG 7.5.0.516 2008.07.12 Generic10.BBXO BitDefender 7.2 2008.07.13 - CAT-QuickHeal 9.50 2008.07.11 - ClamAV 0.93.1 2008.07.13 - DrWeb 4.44.0.09170 2008.07.12 - eSafe 7.0.17.0 2008.07.10 Suspicious File eTrust-Vet 31.6.5949 2008.07.12 - Ewido 4.0 2008.07.12 - F-Prot 4.4.4.56 2008.07.13 - F-Secure 7.60.13501.0 2008.07.12 - Fortinet 3.14.0.0 2008.07.13 - GData 2.0.7306.1023 2008.07.13 Trojan-Downloader.Win32.Agent.vyy Ikarus T3.1.1.26.0 2008.07.13 Trojan.Crypt.ULPM Kaspersky 7.0.0.125 2008.07.13 Trojan-Downloader.Win32.Agent.vyy McAfee 5337 2008.07.11 - Microsoft 1.3704 2008.07.13 - NOD32v2 3263 2008.07.11 probably unknown NewHeur_PE virus Norman 5.80.02 2008.07.11 - Panda 9.0.0.4 2008.07.12 Suspicious file Prevx1 V2 2008.07.13 Malicious Software Rising 20.52.61.00 2008.07.13 - Sophos 4.31.0 2008.07.13 Mal/HckPk-A Sunbelt 3.1.1536.1 2008.07.12 - Symantec 10 2008.07.13 - TheHacker 6.2.96.378 2008.07.13 - TrendMicro 8.700.0.1004 2008.07.11 PAK_Generic.001 VBA32 3.12.6.9 2008.07.12 - VirusBuster 4.5.11.0 2008.07.12 - Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Crypt.ULPM.Gen weitere Informationen File size: 35842 bytes MD5...: 864f0d4577cd999eaba97ecdb9eaf10e SHA1..: 60fd8207303048309ad5ada2cf3a9f823cc07c82 SHA256: ec9e2589d4b6c58c600a61a2d0948db2e59108ad1a1f9399da811c72c7a8f80e SHA512: 03c265e9434a77f06e3b5e34935a5ef63c7df466cc9db1d24cd9fed53fa17330<br>d48100ad66f7500f06ba8586c6455433bac8a3ef072e9fda49d9b144bca8e9b6 PEiD..: - PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4141f9<br>timedatestamp.....: 0x4877a369 (Fri Jul 11 18:16:09 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>UPX1 0xc000 0x9000 0x8400 7.98 2b99c4cb98f3455ab2349ca9fa649b29<br>UPX2 0x15000 0x1000 0x400 2.73 af8114c7acc7de4abf32e98010e97503<br><br>( 9 imports ) <br>> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<br>> ADVAPI32.dll: RegCloseKey<br>> NETAPI32.dll: NetScheduleJobAdd<br>> ole32.dll: CoInitialize<br>> OLEAUT32.dll: -<br>> SHELL32.dll: StrChrA<br>> SHLWAPI.dll: StrDupA<br>> USER32.dll: wsprintfA<br>> WININET.dll: InternetOpenA<br><br>( 0 exports ) <br> Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=ED1D8D4E02FBC4108CC3006981F6B20011108E66 Code:
ATTFilter Datei npfirj.dll empfangen 2008.07.13 10:30:13 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.11 - AntiVir 7.8.0.64 2008.07.11 TR/Crypt.XPACK.Gen Authentium 5.1.0.4 2008.07.13 - Avast 4.8.1195.0 2008.07.13 Win32:Trojan-gen {Other} AVG 7.5.0.516 2008.07.12 Vundo.U BitDefender 7.2 2008.07.13 Trojan.Vundo.EWS CAT-QuickHeal 9.50 2008.07.11 - ClamAV 0.93.1 2008.07.13 - DrWeb 4.44.0.09170 2008.07.12 - eSafe 7.0.17.0 2008.07.10 Suspicious File eTrust-Vet 31.6.5949 2008.07.12 - Ewido 4.0 2008.07.12 - F-Prot 4.4.4.56 2008.07.13 W32/Virtumonde.AB.gen!Eldorado F-Secure 7.60.13501.0 2008.07.12 - Fortinet 3.14.0.0 2008.07.13 W32/Monderc!tr GData 2.0.7306.1023 2008.07.13 Trojan.Win32.Monderc.gen Ikarus T3.1.1.26.0 2008.07.13 Virus.Trojan.Win32.Monderc Kaspersky 7.0.0.125 2008.07.13 Trojan.Win32.Monderc.gen McAfee 5337 2008.07.11 - Microsoft 1.3704 2008.07.13 Trojan:Win32/Vundo.gen!R NOD32v2 3263 2008.07.11 - Norman 5.80.02 2008.07.11 Vundo.gen192 Panda 9.0.0.4 2008.07.12 - Prevx1 V2 2008.07.13 Cloaked Malware Rising 20.52.61.00 2008.07.13 - Sophos 4.31.0 2008.07.13 Mal/Generic-A Sunbelt 3.1.1536.1 2008.07.12 - Symantec 10 2008.07.13 - TheHacker 6.2.96.378 2008.07.13 - TrendMicro 8.700.0.1004 2008.07.11 - VBA32 3.12.6.9 2008.07.12 - VirusBuster 4.5.11.0 2008.07.12 - Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Crypt.XPACK.Gen weitere Informationen File size: 103424 bytes MD5...: 567ceb199ac8059c434f556731100189 SHA1..: f2650b46a3f8b85557d9d7f657496d7a76fbb875 SHA256: ee55b4261f078e3b6f2485beda9dac6907ba349384ced2324465c86c2382017d SHA512: 6a465ee6ec8ab02f92a5ef7620bdad23cd8a888d738181a39c98b710b8ad57f6<br>0176f093b5992fb6dc48b06e4fc03df376132b361dd66a102b095b3fc4ac24e7 PEiD..: - PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100358ff<br>timedatestamp.....: 0x8075c346L (invalid)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.data 0x1000 0x34000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.text 0x35000 0x1077 0x1200 6.10 f3ec8e22c3678eae1fa78845da7f37bb<br>.rdata 0x37000 0x18000 0x17400 8.00 82e2e521af6bbd935c13fb302f8e1bdc<br>.idata 0x4f000 0x1000 0x600 3.88 b780b4d05514c5e2527148496316b702<br>.reloc 0x50000 0x1000 0x400 0.82 160039d78ed8a0cf9e2fc0d3cc6bc8a8<br><br>( 4 imports ) <br>> kernel32.dll: HeapCreate, PulseEvent, HeapUnlock, GetEnvironmentVariableW, GetProcessHeaps, ExpandEnvironmentStringsA, CompareStringW, ReleaseMutex, InterlockedExchangeAdd, lstrlen, GetModuleHandleA<br>> gdi32.dll: Polyline, CreateBitmap, GdiConvertBrush, CreateEllipticRgnIndirect, CreateRoundRectRgn, EnumFontsA, RestoreDC<br>> comdlg32.dll: WantArrows, FindTextA, PrintDlgExA, ChooseColorA, GetSaveFileNameA, dwLBSubclass, LoadAlterBitmap, GetFileTitleA, CommDlgExtendedError, ReplaceTextA, Ssync_ANSI_UNICODE_Struct_For_WOW, PageSetupDlgA, ChooseFontA, PrintDlgA<br>> shell32.dll: StrStrA, ExtractIconEx, CommandLineToArgvW, StrCmpNW, DragQueryPoint, StrNCmpIW, StrCmpNIA, StrStrIW, StrCmpNA, StrStrW, SHChangeNotify, StrChrIA, ExtractIconA, InternalExtractIconListA<br><br>( 0 exports ) <br> Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8AEFB44F00329F1B94ED013B3C2E07001874F159 Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.11 - AntiVir 7.8.0.64 2008.07.11 TR/Crypt.XPACK.Gen Authentium 5.1.0.4 2008.07.13 - Avast 4.8.1195.0 2008.07.13 Win32:Trojan-gen {Other} AVG 7.5.0.516 2008.07.12 Vundo.U BitDefender 7.2 2008.07.13 Trojan.Vundo.EWS CAT-QuickHeal 9.50 2008.07.11 - ClamAV 0.93.1 2008.07.13 - DrWeb 4.44.0.09170 2008.07.12 - eSafe 7.0.17.0 2008.07.10 Suspicious File eTrust-Vet 31.6.5949 2008.07.12 - Ewido 4.0 2008.07.12 - F-Prot 4.4.4.56 2008.07.13 W32/Virtumonde.AB.gen!Eldorado F-Secure 7.60.13501.0 2008.07.12 - Fortinet 3.14.0.0 2008.07.13 W32/Monderc!tr GData 2.0.7306.1023 2008.07.13 Trojan.Win32.Monderc.gen Ikarus T3.1.1.26.0 2008.07.13 Virus.Trojan.Win32.Monderc Kaspersky 7.0.0.125 2008.07.13 Trojan.Win32.Monderc.gen McAfee 5337 2008.07.11 - Microsoft 1.3704 2008.07.13 Trojan:Win32/Vundo.gen!R NOD32v2 3263 2008.07.11 - Norman 5.80.02 2008.07.11 Vundo.gen192 Panda 9.0.0.4 2008.07.12 - Prevx1 V2 2008.07.13 Cloaked Malware Rising 20.52.61.00 2008.07.13 - Sophos 4.31.0 2008.07.13 Mal/Generic-A Sunbelt 3.1.1536.1 2008.07.12 - Symantec 10 2008.07.13 - TheHacker 6.2.96.378 2008.07.13 - TrendMicro 8.700.0.1004 2008.07.11 - VBA32 3.12.6.9 2008.07.12 - VirusBuster 4.5.11.0 2008.07.12 - Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Crypt.XPACK.Gen weitere Informationen File size: 103424 bytes MD5...: 567ceb199ac8059c434f556731100189 SHA1..: f2650b46a3f8b85557d9d7f657496d7a76fbb875 SHA256: ee55b4261f078e3b6f2485beda9dac6907ba349384ced2324465c86c2382017d SHA512: 6a465ee6ec8ab02f92a5ef7620bdad23cd8a888d738181a39c98b710b8ad57f6<br>0176f093b5992fb6dc48b06e4fc03df376132b361dd66a102b095b3fc4ac24e7 PEiD..: - PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100358ff<br>timedatestamp.....: 0x8075c346L (invalid)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.data 0x1000 0x34000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.text 0x35000 0x1077 0x1200 6.10 f3ec8e22c3678eae1fa78845da7f37bb<br>.rdata 0x37000 0x18000 0x17400 8.00 82e2e521af6bbd935c13fb302f8e1bdc<br>.idata 0x4f000 0x1000 0x600 3.88 b780b4d05514c5e2527148496316b702<br>.reloc 0x50000 0x1000 0x400 0.82 160039d78ed8a0cf9e2fc0d3cc6bc8a8<br><br>( 4 imports ) <br>> kernel32.dll: HeapCreate, PulseEvent, HeapUnlock, GetEnvironmentVariableW, GetProcessHeaps, ExpandEnvironmentStringsA, CompareStringW, ReleaseMutex, InterlockedExchangeAdd, lstrlen, GetModuleHandleA<br>> gdi32.dll: Polyline, CreateBitmap, GdiConvertBrush, CreateEllipticRgnIndirect, CreateRoundRectRgn, EnumFontsA, RestoreDC<br>> comdlg32.dll: WantArrows, FindTextA, PrintDlgExA, ChooseColorA, GetSaveFileNameA, dwLBSubclass, LoadAlterBitmap, GetFileTitleA, CommDlgExtendedError, ReplaceTextA, Ssync_ANSI_UNICODE_Struct_For_WOW, PageSetupDlgA, ChooseFontA, PrintDlgA<br>> shell32.dll: StrStrA, ExtractIconEx, CommandLineToArgvW, StrCmpNW, DragQueryPoint, StrNCmpIW, StrCmpNIA, StrStrIW, StrCmpNA, StrStrW, SHChangeNotify, StrChrIA, ExtractIconA, InternalExtractIconListA<br><br>( 0 exports ) <br> Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8AEFB44F00329F1B94ED013B3C2E07001874F159 |
13.07.2008, 12:43 | #7 |
Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig Also da es sich bei der ersten Datei um einen Trojan-Downloader handelt, wäre es natürlich sicherer ein Neuaufsetzen in Betracht zu ziehen, da ich in dem Fall eine Bereinigung sinnlos finde. |
14.07.2008, 08:52 | #8 |
| Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig Sicherer wär das natürlich, aber angesichts der diversen GBs, die ich da erstmal sichern muss (ja, ich weiß, hätte man beizeiten machen können), wäre das meine letzte Option, vorerst zumindest. Jetzt möcht ich erstmal wissen, wie ich diese Dateien und den MS Juan RegKey sauber runter bekomme. Vielleicht hab ich ja Glück und das war's. Ich hab schon die ganze Zeit den Stecker raus, nur um hier nachzuschauen, und den Taskmanager immer im Auge. Hoffentlich meldet sich bald ein Kompetenzler. |
14.07.2008, 14:19 | #9 |
| update Ich hab das jetzt mal beobachtet: Ich habe zwei Prozesse, HlWMxCsb.exe und udG7DI7w.exe, die immer pünktlich zur vollen Stunde aufkreuzen (d.h., wenn ich sage, dass die volle Stunde ist, hehe). Der iexplore.exe taucht zwischendurch nicht mehr auf, Pop-ups hatte ich heute auch noch keine. |
17.07.2008, 08:41 | #10 |
| Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig Kann ich noch mit einer Antwort rechnen? Ich will nicht undankbar klingen, weiß ja, dass hier noch etliche andere Problemfälle sind. Langfristig werd ich wohl das System neu aufsetzen, aber da die Datensicherung eine Weile dauern wird, wär es toll, wenn mich jemand anleitet, wie ich bis dahin das Gröbste runter bekomme... Ich weise vorsorglich schon mal darauf hin, dass ich ab Freitag mittag einige Tage unterwegs bin. Also bitte nicht wundern, Tipps setze ich dann gleich um, sobald ich wieder da bin! |
Themen zu Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig |
adobe, antivirus, bho, einstellungen, entfernen, explorer, gainward, hijack, hkus\s-1-5-18, iexplore.exe, immer wieder, internet, internet explorer, logfile, malware.trace, malwarebytes' anti-malware, monitor, neustart, problem, prozesse, quara, registrierungsschlüssel, registry, registry key, rundll, scan, software, system, t-online, temp, virtumonde, vundo, windows xp, wlan |