Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 12.07.2008, 19:20   #1
Psychobyte
 
Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig - Standard

Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig



Hallo! Toll, dass es dieses Forum gibt!
Ich habe mir vor ein zwei Tage etwas eingefangen.
Mit der neusten Version von Spybot konnte ich Virtumonde finden und vernichten , ist seitdem nicht mehr aufgetaucht.
Dann habe ich noch mal Malwarebytes' laufen lassen, das hat noch so einiges vom Vundo-Trojaner aufgedeckt. Habe ich natürlich entfernen lassen, und dann war's auch weg (hab auch Vundofix mehrmals ohne Ergebnis laufen lassen). Beim letzten Scan gerade waren allerdings wieder ein paar Dateien dabei.

Was sich hartnäckig hält, ist das Problem mit dem iexplore.exe-Prozess, der nach Beendung immer wieder auftaucht, samt hin und wieder Werbepop-ups. Ebenso der Registry Key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan", der bei jedem Scan wieder da ist (nach Neustart jedenfalls, hab jetzt nicht im Kopf, ob ich auch mal zwei Mal ohne Neustart gescannt hab...).

Hab schon die anderen Threads zu dem Thema gelesen, aber ohne einen speziellen Tipp komm ich selbst nicht weiter.
Hier erst mal das Log meiner letzten Malwarebytes'-Aktion:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.20
Datenbank Version: 941
Windows 5.1.2600 Service Pack 2

19:43:31 12.07.2008
mbam-log-7-12-2008 (19-43-31).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 140592
Scan Dauer: 49 minute(s), 13 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\jkkHXPGX.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\jkkIBUon.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{595D2CB6-6E96-420B-91FF-42CFD364B4D8}\RP135\A0046701.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{595D2CB6-6E96-420B-91FF-42CFD364B4D8}\RP135\A0046702.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
         
Und hier mein Hijackthis-Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:46:30, on 12.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\meinName\Internetprogramme\SpyBot1-6\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\udG7Dl7w.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\meinName\Internetprogramme\HijackThis\HjT2-0-2.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: {e4b4f41e-4616-0f9b-1d94-75077a9390f1} - {1f0939a7-7057-49d1-b9f0-6164e14f4b4e} - C:\WINDOWS\system32\npfirj.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\meinName\INTERN~1\SPYBOT~2\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\meinName\Internetprogramme\SpyBot1-6\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [MSServer] rundll32.exe C:\DOKUME~1\LOCALS~1\LOKALE~1\Temp\jkkHXPGX.dll,#1 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\andreas\INTERN~1\SPYBOT~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\meinName\INTERN~1\SPYBOT~2\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4607 bytes
         
Ihr könnt mir bestimmt helfen.

PS: Einfach eine Systemwiederherstellung ist wahrscheinlich kein Mittel gegen sowas...?

Alt 12.07.2008, 19:44   #2
Vany_Vany
 
Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig - Standard

Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig



hey, ich hatte vor ein paar wochen das selbe problem:

http://************************/dboard/showthread.php?tid=460

hoffe das hilft
__________________


Alt 12.07.2008, 19:55   #3
Psychobyte
 
Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig - Standard

Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig



Danke, aber hattest du auch immer diesen iexplore-Prozess im Taskmanager? Wenn man hier um Hilfe fragt, soll man ja erstmal abwarten, was die Experten sagen, sonst gibt's nur Verwirrung, wenn man zwischendurch was macht.

Was ich noch vergessen hatte: manchmal spielt er auch Audiodateien im Hintergrund. Einmal ne Werbung und gerade einfach nur ein längeres Geräusch...?
__________________

Geändert von Psychobyte (12.07.2008 um 20:05 Uhr)

Alt 12.07.2008, 22:02   #4
Psychobyte
 
Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig - Standard

Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig



(Liegt das nur an der Zeit oder warum find ich den edit-Button nicht mehr...? sorry)

Ich hab grad nochmal gescannt, ohne Neustart zwischendurch, der RegKey war trotzdem schon wieder da.

Alt 12.07.2008, 22:24   #5
Silent sharK
 

Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig - Standard

Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig



Hallo Psychobyte,

Erstmal folgendes: Virtumonde ist ein Trivialname für Vundo, das mit dem Audiogeräusch ist mit Sicherheit ein Popup, den du blockst, nur die Audiogeräusche halt nicht.

Prüfe mal folgende Dateien bei VirusTotal - Free Online Virus and Malware Scan :
Zitat:
C:\WINDOWS\system32\udG7Dl7w.exe
Zitat:
C:\WINDOWS\system32\npfirj.dll
Ansonsten würde ich warten, bis hier ein User aus dem Kompetenzteam postet, um dir ein evtl. entsprechenden Bereinigungsweg vorschlägt.

mfg


Alt 13.07.2008, 09:32   #6
Psychobyte
 
Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig - Standard

Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig



Hier das Ergebnis der ersten Datei:
Code:
ATTFilter
Datei udG7Dl7w.exe empfangen 2008.07.13 10:19:14 (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.7.11.0	2008.07.11	-
AntiVir	7.8.0.64	2008.07.11	TR/Crypt.ULPM.Gen
Authentium	5.1.0.4	2008.07.13	-
Avast	4.8.1195.0	2008.07.13	Win32:Trojan-gen {Other}
AVG	7.5.0.516	2008.07.12	Generic10.BBXO
BitDefender	7.2	2008.07.13	-
CAT-QuickHeal	9.50	2008.07.11	-
ClamAV	0.93.1	2008.07.13	-
DrWeb	4.44.0.09170	2008.07.12	-
eSafe	7.0.17.0	2008.07.10	Suspicious File
eTrust-Vet	31.6.5949	2008.07.12	-
Ewido	4.0	2008.07.12	-
F-Prot	4.4.4.56	2008.07.13	-
F-Secure	7.60.13501.0	2008.07.12	-
Fortinet	3.14.0.0	2008.07.13	-
GData	2.0.7306.1023	2008.07.13	Trojan-Downloader.Win32.Agent.vyy
Ikarus	T3.1.1.26.0	2008.07.13	Trojan.Crypt.ULPM
Kaspersky	7.0.0.125	2008.07.13	Trojan-Downloader.Win32.Agent.vyy
McAfee	5337	2008.07.11	-
Microsoft	1.3704	2008.07.13	-
NOD32v2	3263	2008.07.11	probably unknown NewHeur_PE virus
Norman	5.80.02	2008.07.11	-
Panda	9.0.0.4	2008.07.12	Suspicious file
Prevx1	V2	2008.07.13	Malicious Software
Rising	20.52.61.00	2008.07.13	-
Sophos	4.31.0	2008.07.13	Mal/HckPk-A
Sunbelt	3.1.1536.1	2008.07.12	-
Symantec	10	2008.07.13	-
TheHacker	6.2.96.378	2008.07.13	-
TrendMicro	8.700.0.1004	2008.07.11	PAK_Generic.001
VBA32	3.12.6.9	2008.07.12	-
VirusBuster	4.5.11.0	2008.07.12	-
Webwasher-Gateway	6.6.2	2008.07.11	Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 35842 bytes
MD5...: 864f0d4577cd999eaba97ecdb9eaf10e
SHA1..: 60fd8207303048309ad5ada2cf3a9f823cc07c82
SHA256: ec9e2589d4b6c58c600a61a2d0948db2e59108ad1a1f9399da811c72c7a8f80e
SHA512: 03c265e9434a77f06e3b5e34935a5ef63c7df466cc9db1d24cd9fed53fa17330<br>d48100ad66f7500f06ba8586c6455433bac8a3ef072e9fda49d9b144bca8e9b6
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4141f9<br>timedatestamp.....: 0x4877a369 (Fri Jul 11 18:16:09 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>UPX1 0xc000 0x9000 0x8400 7.98 2b99c4cb98f3455ab2349ca9fa649b29<br>UPX2 0x15000 0x1000 0x400 2.73 af8114c7acc7de4abf32e98010e97503<br><br>( 9 imports ) <br>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<br>&gt; ADVAPI32.dll: RegCloseKey<br>&gt; NETAPI32.dll: NetScheduleJobAdd<br>&gt; ole32.dll: CoInitialize<br>&gt; OLEAUT32.dll: -<br>&gt; SHELL32.dll: StrChrA<br>&gt; SHLWAPI.dll: StrDupA<br>&gt; USER32.dll: wsprintfA<br>&gt; WININET.dll: InternetOpenA<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=ED1D8D4E02FBC4108CC3006981F6B20011108E66

Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.7.11.0	2008.07.11	-
AntiVir	7.8.0.64	2008.07.11	TR/Crypt.ULPM.Gen
Authentium	5.1.0.4	2008.07.13	-
Avast	4.8.1195.0	2008.07.13	Win32:Trojan-gen {Other}
AVG	7.5.0.516	2008.07.12	Generic10.BBXO
BitDefender	7.2	2008.07.13	-
CAT-QuickHeal	9.50	2008.07.11	-
ClamAV	0.93.1	2008.07.13	-
DrWeb	4.44.0.09170	2008.07.12	-
eSafe	7.0.17.0	2008.07.10	Suspicious File
eTrust-Vet	31.6.5949	2008.07.12	-
Ewido	4.0	2008.07.12	-
F-Prot	4.4.4.56	2008.07.13	-
F-Secure	7.60.13501.0	2008.07.12	-
Fortinet	3.14.0.0	2008.07.13	-
GData	2.0.7306.1023	2008.07.13	Trojan-Downloader.Win32.Agent.vyy
Ikarus	T3.1.1.26.0	2008.07.13	Trojan.Crypt.ULPM
Kaspersky	7.0.0.125	2008.07.13	Trojan-Downloader.Win32.Agent.vyy
McAfee	5337	2008.07.11	-
Microsoft	1.3704	2008.07.13	-
NOD32v2	3263	2008.07.11	probably unknown NewHeur_PE virus
Norman	5.80.02	2008.07.11	-
Panda	9.0.0.4	2008.07.12	Suspicious file
Prevx1	V2	2008.07.13	Malicious Software
Rising	20.52.61.00	2008.07.13	-
Sophos	4.31.0	2008.07.13	Mal/HckPk-A
Sunbelt	3.1.1536.1	2008.07.12	-
Symantec	10	2008.07.13	-
TheHacker	6.2.96.378	2008.07.13	-
TrendMicro	8.700.0.1004	2008.07.11	PAK_Generic.001
VBA32	3.12.6.9	2008.07.12	-
VirusBuster	4.5.11.0	2008.07.12	-
Webwasher-Gateway	6.6.2	2008.07.11	Trojan.Crypt.ULPM.Gen

weitere Informationen
File size: 35842 bytes
MD5...: 864f0d4577cd999eaba97ecdb9eaf10e
SHA1..: 60fd8207303048309ad5ada2cf3a9f823cc07c82
SHA256: ec9e2589d4b6c58c600a61a2d0948db2e59108ad1a1f9399da811c72c7a8f80e
SHA512: 03c265e9434a77f06e3b5e34935a5ef63c7df466cc9db1d24cd9fed53fa17330<br>d48100ad66f7500f06ba8586c6455433bac8a3ef072e9fda49d9b144bca8e9b6
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4141f9<br>timedatestamp.....: 0x4877a369 (Fri Jul 11 18:16:09 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name        viradd    virsiz   rawdsiz  ntrpy  md5<br>UPX0        0x1000    0xb000       0x0   0.00  d41d8cd98f00b204e9800998ecf8427e<br>UPX1        0xc000    0x9000    0x8400   7.98  2b99c4cb98f3455ab2349ca9fa649b29<br>UPX2       0x15000    0x1000     0x400   2.73  af8114c7acc7de4abf32e98010e97503<br><br>( 9 imports )  <br>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<br>&gt; ADVAPI32.dll: RegCloseKey<br>&gt; NETAPI32.dll: NetScheduleJobAdd<br>&gt; ole32.dll: CoInitialize<br>&gt; OLEAUT32.dll: -<br>&gt; SHELL32.dll: StrChrA<br>&gt; SHLWAPI.dll: StrDupA<br>&gt; USER32.dll: wsprintfA<br>&gt; WININET.dll: InternetOpenA<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=ED1D8D4E02FBC4108CC3006981F6B20011108E66
         
Und Nummer zwei:
Code:
ATTFilter
Datei npfirj.dll empfangen 2008.07.13 10:30:13 (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.7.11.0	2008.07.11	-
AntiVir	7.8.0.64	2008.07.11	TR/Crypt.XPACK.Gen
Authentium	5.1.0.4	2008.07.13	-
Avast	4.8.1195.0	2008.07.13	Win32:Trojan-gen {Other}
AVG	7.5.0.516	2008.07.12	Vundo.U
BitDefender	7.2	2008.07.13	Trojan.Vundo.EWS
CAT-QuickHeal	9.50	2008.07.11	-
ClamAV	0.93.1	2008.07.13	-
DrWeb	4.44.0.09170	2008.07.12	-
eSafe	7.0.17.0	2008.07.10	Suspicious File
eTrust-Vet	31.6.5949	2008.07.12	-
Ewido	4.0	2008.07.12	-
F-Prot	4.4.4.56	2008.07.13	W32/Virtumonde.AB.gen!Eldorado
F-Secure	7.60.13501.0	2008.07.12	-
Fortinet	3.14.0.0	2008.07.13	W32/Monderc!tr
GData	2.0.7306.1023	2008.07.13	Trojan.Win32.Monderc.gen
Ikarus	T3.1.1.26.0	2008.07.13	Virus.Trojan.Win32.Monderc
Kaspersky	7.0.0.125	2008.07.13	Trojan.Win32.Monderc.gen
McAfee	5337	2008.07.11	-
Microsoft	1.3704	2008.07.13	Trojan:Win32/Vundo.gen!R
NOD32v2	3263	2008.07.11	-
Norman	5.80.02	2008.07.11	Vundo.gen192
Panda	9.0.0.4	2008.07.12	-
Prevx1	V2	2008.07.13	Cloaked Malware
Rising	20.52.61.00	2008.07.13	-
Sophos	4.31.0	2008.07.13	Mal/Generic-A
Sunbelt	3.1.1536.1	2008.07.12	-
Symantec	10	2008.07.13	-
TheHacker	6.2.96.378	2008.07.13	-
TrendMicro	8.700.0.1004	2008.07.11	-
VBA32	3.12.6.9	2008.07.12	-
VirusBuster	4.5.11.0	2008.07.12	-
Webwasher-Gateway	6.6.2	2008.07.11	Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 103424 bytes
MD5...: 567ceb199ac8059c434f556731100189
SHA1..: f2650b46a3f8b85557d9d7f657496d7a76fbb875
SHA256: ee55b4261f078e3b6f2485beda9dac6907ba349384ced2324465c86c2382017d
SHA512: 6a465ee6ec8ab02f92a5ef7620bdad23cd8a888d738181a39c98b710b8ad57f6<br>0176f093b5992fb6dc48b06e4fc03df376132b361dd66a102b095b3fc4ac24e7
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100358ff<br>timedatestamp.....: 0x8075c346L (invalid)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.data 0x1000 0x34000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.text 0x35000 0x1077 0x1200 6.10 f3ec8e22c3678eae1fa78845da7f37bb<br>.rdata 0x37000 0x18000 0x17400 8.00 82e2e521af6bbd935c13fb302f8e1bdc<br>.idata 0x4f000 0x1000 0x600 3.88 b780b4d05514c5e2527148496316b702<br>.reloc 0x50000 0x1000 0x400 0.82 160039d78ed8a0cf9e2fc0d3cc6bc8a8<br><br>( 4 imports ) <br>&gt; kernel32.dll: HeapCreate, PulseEvent, HeapUnlock, GetEnvironmentVariableW, GetProcessHeaps, ExpandEnvironmentStringsA, CompareStringW, ReleaseMutex, InterlockedExchangeAdd, lstrlen, GetModuleHandleA<br>&gt; gdi32.dll: Polyline, CreateBitmap, GdiConvertBrush, CreateEllipticRgnIndirect, CreateRoundRectRgn, EnumFontsA, RestoreDC<br>&gt; comdlg32.dll: WantArrows, FindTextA, PrintDlgExA, ChooseColorA, GetSaveFileNameA, dwLBSubclass, LoadAlterBitmap, GetFileTitleA, CommDlgExtendedError, ReplaceTextA, Ssync_ANSI_UNICODE_Struct_For_WOW, PageSetupDlgA, ChooseFontA, PrintDlgA<br>&gt; shell32.dll: StrStrA, ExtractIconEx, CommandLineToArgvW, StrCmpNW, DragQueryPoint, StrNCmpIW, StrCmpNIA, StrStrIW, StrCmpNA, StrStrW, SHChangeNotify, StrChrIA, ExtractIconA, InternalExtractIconListA<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8AEFB44F00329F1B94ED013B3C2E07001874F159

Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.7.11.0	2008.07.11	-
AntiVir	7.8.0.64	2008.07.11	TR/Crypt.XPACK.Gen
Authentium	5.1.0.4	2008.07.13	-
Avast	4.8.1195.0	2008.07.13	Win32:Trojan-gen {Other}
AVG	7.5.0.516	2008.07.12	Vundo.U
BitDefender	7.2	2008.07.13	Trojan.Vundo.EWS
CAT-QuickHeal	9.50	2008.07.11	-
ClamAV	0.93.1	2008.07.13	-
DrWeb	4.44.0.09170	2008.07.12	-
eSafe	7.0.17.0	2008.07.10	Suspicious File
eTrust-Vet	31.6.5949	2008.07.12	-
Ewido	4.0	2008.07.12	-
F-Prot	4.4.4.56	2008.07.13	W32/Virtumonde.AB.gen!Eldorado
F-Secure	7.60.13501.0	2008.07.12	-
Fortinet	3.14.0.0	2008.07.13	W32/Monderc!tr
GData	2.0.7306.1023	2008.07.13	Trojan.Win32.Monderc.gen
Ikarus	T3.1.1.26.0	2008.07.13	Virus.Trojan.Win32.Monderc
Kaspersky	7.0.0.125	2008.07.13	Trojan.Win32.Monderc.gen
McAfee	5337	2008.07.11	-
Microsoft	1.3704	2008.07.13	Trojan:Win32/Vundo.gen!R
NOD32v2	3263	2008.07.11	-
Norman	5.80.02	2008.07.11	Vundo.gen192
Panda	9.0.0.4	2008.07.12	-
Prevx1	V2	2008.07.13	Cloaked Malware
Rising	20.52.61.00	2008.07.13	-
Sophos	4.31.0	2008.07.13	Mal/Generic-A
Sunbelt	3.1.1536.1	2008.07.12	-
Symantec	10	2008.07.13	-
TheHacker	6.2.96.378	2008.07.13	-
TrendMicro	8.700.0.1004	2008.07.11	-
VBA32	3.12.6.9	2008.07.12	-
VirusBuster	4.5.11.0	2008.07.12	-
Webwasher-Gateway	6.6.2	2008.07.11	Trojan.Crypt.XPACK.Gen

weitere Informationen
File size: 103424 bytes
MD5...: 567ceb199ac8059c434f556731100189
SHA1..: f2650b46a3f8b85557d9d7f657496d7a76fbb875
SHA256: ee55b4261f078e3b6f2485beda9dac6907ba349384ced2324465c86c2382017d
SHA512: 6a465ee6ec8ab02f92a5ef7620bdad23cd8a888d738181a39c98b710b8ad57f6<br>0176f093b5992fb6dc48b06e4fc03df376132b361dd66a102b095b3fc4ac24e7
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100358ff<br>timedatestamp.....: 0x8075c346L (invalid)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name        viradd    virsiz   rawdsiz  ntrpy  md5<br>.data       0x1000   0x34000       0x0   0.00  d41d8cd98f00b204e9800998ecf8427e<br>.text      0x35000    0x1077    0x1200   6.10  f3ec8e22c3678eae1fa78845da7f37bb<br>.rdata     0x37000   0x18000   0x17400   8.00  82e2e521af6bbd935c13fb302f8e1bdc<br>.idata     0x4f000    0x1000     0x600   3.88  b780b4d05514c5e2527148496316b702<br>.reloc     0x50000    0x1000     0x400   0.82  160039d78ed8a0cf9e2fc0d3cc6bc8a8<br><br>( 4 imports )  <br>&gt; kernel32.dll: HeapCreate, PulseEvent, HeapUnlock, GetEnvironmentVariableW, GetProcessHeaps, ExpandEnvironmentStringsA, CompareStringW, ReleaseMutex, InterlockedExchangeAdd, lstrlen, GetModuleHandleA<br>&gt; gdi32.dll: Polyline, CreateBitmap, GdiConvertBrush, CreateEllipticRgnIndirect, CreateRoundRectRgn, EnumFontsA, RestoreDC<br>&gt; comdlg32.dll: WantArrows, FindTextA, PrintDlgExA, ChooseColorA, GetSaveFileNameA, dwLBSubclass, LoadAlterBitmap, GetFileTitleA, CommDlgExtendedError, ReplaceTextA, Ssync_ANSI_UNICODE_Struct_For_WOW, PageSetupDlgA, ChooseFontA, PrintDlgA<br>&gt; shell32.dll: StrStrA, ExtractIconEx, CommandLineToArgvW, StrCmpNW, DragQueryPoint, StrNCmpIW, StrCmpNIA, StrStrIW, StrCmpNA, StrStrW, SHChangeNotify, StrChrIA, ExtractIconA, InternalExtractIconListA<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8AEFB44F00329F1B94ED013B3C2E07001874F159
         
Das waren ja schon mal Treffer, danke! -Warte auf weitere Anweisungen.

Alt 13.07.2008, 12:43   #7
Silent sharK
 

Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig - Standard

Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig



Also da es sich bei der ersten Datei um einen Trojan-Downloader handelt, wäre es natürlich sicherer ein Neuaufsetzen in Betracht zu ziehen, da ich in dem Fall eine Bereinigung sinnlos finde.

Alt 14.07.2008, 08:52   #8
Psychobyte
 
Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig - Standard

Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig



Sicherer wär das natürlich, aber angesichts der diversen GBs, die ich da erstmal sichern muss (ja, ich weiß, hätte man beizeiten machen können), wäre das meine letzte Option, vorerst zumindest.
Jetzt möcht ich erstmal wissen, wie ich diese Dateien und den MS Juan RegKey sauber runter bekomme. Vielleicht hab ich ja Glück und das war's. Ich hab schon die ganze Zeit den Stecker raus, nur um hier nachzuschauen, und den Taskmanager immer im Auge.
Hoffentlich meldet sich bald ein Kompetenzler.

Alt 14.07.2008, 14:19   #9
Psychobyte
 
Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig - Standard

update



Ich hab das jetzt mal beobachtet:
Ich habe zwei Prozesse, HlWMxCsb.exe und udG7DI7w.exe, die immer pünktlich zur vollen Stunde aufkreuzen (d.h., wenn ich sage, dass die volle Stunde ist, hehe). Der iexplore.exe taucht zwischendurch nicht mehr auf, Pop-ups hatte ich heute auch noch keine.

Alt 17.07.2008, 08:41   #10
Psychobyte
 
Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig - Standard

Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig



Kann ich noch mit einer Antwort rechnen? Ich will nicht undankbar klingen, weiß ja, dass hier noch etliche andere Problemfälle sind. Langfristig werd ich wohl das System neu aufsetzen, aber da die Datensicherung eine Weile dauern wird, wär es toll, wenn mich jemand anleitet, wie ich bis dahin das Gröbste runter bekomme...

Ich weise vorsorglich schon mal darauf hin, dass ich ab Freitag mittag einige Tage unterwegs bin. Also bitte nicht wundern, Tipps setze ich dann gleich um, sobald ich wieder da bin!

Antwort

Themen zu Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig
adobe, antivirus, bho, einstellungen, entfernen, explorer, gainward, hijack, hkus\s-1-5-18, iexplore.exe, immer wieder, internet, internet explorer, logfile, malware.trace, malwarebytes' anti-malware, monitor, neustart, problem, prozesse, quara, registrierungsschlüssel, registry, registry key, rundll, scan, software, system, t-online, temp, virtumonde, vundo, windows xp, wlan




Ähnliche Themen: Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig


  1. Vundo, Iceroe und div. XPACK.gen, hartnäckig, bekomme sie net weg
    Plagegeister aller Art und deren Bekämpfung - 09.03.2009 (2)
  2. Vundo/Virtumonde (vermutlich)
    Plagegeister aller Art und deren Bekämpfung - 07.01.2009 (27)
  3. Infiziert mit Virtumonde generic,Virtumonde ,Smitfraud-C und virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  4. Virtumonde taucht immer wieder auf, bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 22.10.2008 (0)
  5. Virtumonde / Vundo
    Log-Analyse und Auswertung - 30.09.2008 (1)
  6. Virtumonde / Vundo
    Mülltonne - 30.09.2008 (0)
  7. Virtumonde und Vundo problem auf XP Pro
    Plagegeister aller Art und deren Bekämpfung - 23.09.2008 (8)
  8. Virtumonde und Vundo Problem, Hilfe!
    Mülltonne - 21.09.2008 (0)
  9. Reste von Vundo/Virtumonde auf der Platte!
    Plagegeister aller Art und deren Bekämpfung - 31.08.2008 (2)
  10. Virtumonde mal wieder ! combifix und hijackthis durchgeführt
    Mülltonne - 20.08.2008 (0)
  11. Trojaner WinFixer / Virtumonde / Msevents / Trojan.vundo entfernen
    Plagegeister aller Art und deren Bekämpfung - 20.08.2008 (2)
  12. Virtumonde !hartnäckig!
    Plagegeister aller Art und deren Bekämpfung - 27.07.2008 (11)
  13. TR Monder 97792.1 / 91136.10 und Vundo.Gen hartnäckig! Bitte Hilfe!
    Log-Analyse und Auswertung - 28.06.2008 (10)
  14. Trojaner Lowzone, Vundo, Virtumonde Maleware
    Log-Analyse und Auswertung - 02.06.2008 (13)
  15. [vundo-/VirtuMonde-erkältung] status: vundofix, combofix
    Log-Analyse und Auswertung - 17.02.2008 (1)
  16. Verschiedene Trojaner um vundo und virtumonde
    Plagegeister aller Art und deren Bekämpfung - 09.07.2007 (5)
  17. iexplore.exe taucht immer wieder auf
    Log-Analyse und Auswertung - 26.04.2007 (1)

Zum Thema Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig - Hallo! Toll, dass es dieses Forum gibt! Ich habe mir vor ein zwei Tage etwas eingefangen. Mit der neusten Version von Spybot konnte ich Virtumonde finden und vernichten , ist - Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig...
Archiv
Du betrachtest: Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.