![]() |
|
Plagegeister aller Art und deren Bekämpfung: Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-CodecWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 | |||
![]() | ![]() Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec Hallo erstmal, ich muss euch mal sagen, dass ich Eure Site echt klasse finde, das ist eine große Hilfe für viele Verzweifelte! :aplaus: Ich habe mir, wahrscheinlich unter anderem, die o.a. Plagegeister eingefangen. Hab heute auch schon superantivirus installiert und drauf angetzt und die beiden sitzen jetzt in der Quarantäne. Bis gestern hatte ich nur den CCleaner, Spybot SD und avg free installiert. Spybot fand gestern virtumonde und hat es angeblich auch weg gekriegt (kann das sein?). Ich habe mich schon viel im Forum umgesehen, aber da ich bislang schon einige Maßnahmen durchgeführt habe, kann ich die Infos nicht voll für mich umsetzen. Ich bin ein ziemlicher Laie, sobald es um die tiefen Innereien der Software geht und weiß jetzt nicht mehr weiter. ![]() Hier nun die Logs (hoffe ich hab die richtig bearbeitet, ist ja das erste mal): HiJack This: Zitat:
Spybot SD: Zitat:
SuperAntiSpyware: Zitat:
Ich hoffe, dass diese Infos euch weiterbringen! Über Hilfe, auch wenn das bestimmt ein schwieriger Fall wird, wäre ich Euch sehr dankbar. ![]() Mfg der P aus B ![]() |
![]() | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec Hallo und
__________________![]() Acker diese Punkte für weitere Analysen ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\WINDOWS\tray\wintmr.exe C:\Programme\srhmoxc\MsgApiSys.dll 3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 6.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________ |
![]() | #3 |
![]() | ![]() Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-CodecHallöle root 24, zunächst einmal möchte ich Dir für die umfassende Antwort danken!!! :aplaus: Ich hoffe Du kannst anhand der vorhandenen Logs schon etwas feststellen. Mehr schaffe ich heut leider nicht mehr. Hoffe, dass ich dann moergen Abend wieder ON gehen kann. Evtl. Ansonsten schaff ich das erst am WE. Zu1: Was Du mit "Prüfsumme" gemeint hast, war mir leider nicht gant klar. ![]() HTML-Code: Datei wintmr.exe empfangen 2008.10.16 23:13:49 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/36 (2.78%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.17.0 2008.10.16 - AntiVir 7.9.0.4 2008.10.16 - Authentium 5.1.0.4 2008.10.16 - Avast 4.8.1248.0 2008.10.15 - AVG 8.0.0.161 2008.10.16 - BitDefender 7.2 2008.10.16 - CAT-QuickHeal 9.50 2008.10.16 - ClamAV 0.93.1 2008.10.16 - DrWeb 4.44.0.09170 2008.10.16 - eSafe 7.0.17.0 2008.10.16 - eTrust-Vet 31.6.6151 2008.10.16 - Ewido 4.0 2008.10.16 - F-Prot 4.4.4.56 2008.10.16 - F-Secure 8.0.14332.0 2008.10.16 Suspicious:W32/Kolweb.d!Gemini Fortinet 3.113.0.0 2008.10.16 - GData 19 2008.10.16 - Ikarus T3.1.1.44.0 2008.10.16 - K7AntiVirus 7.10.497 2008.10.16 - Kaspersky 7.0.0.125 2008.10.16 - McAfee 5407 2008.10.16 - Microsoft 1.4005 2008.10.16 - NOD32 3528 2008.10.16 - Norman 5.80.02 2008.10.16 - Panda 9.0.0.4 2008.10.16 - PCTools 4.4.2.0 2008.10.16 - Prevx1 V2 2008.10.16 - Rising 20.66.32.00 2008.10.16 - SecureWeb-Gateway 6.7.6 2008.10.16 - Sophos 4.34.0 2008.10.16 - Sunbelt 3.1.1728.1 2008.10.16 - Symantec 10 2008.10.16 - TheHacker 6.3.1.0.116 2008.10.16 - TrendMicro 8.700.0.1004 2008.10.16 - VBA32 3.12.8.7 2008.10.16 - ViRobot 2008.10.16.1423 2008.10.16 - VirusBuster 4.5.11.0 2008.10.16 - weitere Informationen File size: 4748728 bytes MD5...: 5af6b7ff333ea6d0bd1bb549ea14df3a SHA1..: 404183baacb9b1172e16df590b015604a98d1523 SHA256: 2f125089475cfbecc4e7d28325d63eb90ad9a4d017a6c1b63fe4a47ed24b9da5 SHA512: e7b5babc06e1de301b44c1330df786b68a38b7b09addff2fff34628709feb030 0bbddd02a6e0970a4f90ab25f950f90ff689f1c37ef77e33867e969157f46145 PEiD..: - TrID..: File type identification InstallShield setup (74.6%) Win32 Executable Generic (14.7%) Win16/32 Executable Delphi generic (3.5%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x6dd234 timedatestamp.....: 0x48a8691c (Sun Aug 17 18:08:28 2008) machinetype.......: 0x14c (I386) ( 9 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2d5c34 0x2d5e00 6.57 7bc9937f03488ef6394443e7c5e7ee0c .itext 0x2d7000 0x6520 0x6600 6.34 24c3d9afb7ea4b5626bb230f4b5b7b55 .data 0x2de000 0x148f8 0x14a00 6.82 99582057c3d768435efbed29012c5e36 .bss 0x2f3000 0xa82c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0x2fe000 0x4384 0x4400 5.30 1bed7794056ab9b3c269b31fe1557bee .tls 0x303000 0x50 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0x304000 0x18 0x200 0.21 d456e38a23e46cf5203b8dfb0afa48da .reloc 0x305000 0x31c88 0x31e00 6.62 adb59bc45e6e21896dfdff33cda782e6 .rsrc 0x337000 0x68200 0x68200 5.42 d0a460b70865a5235ca7f41dc665958a ( 27 imports ) > oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey > user32.dll: GetKeyboardType, DestroyWindow, LoadStringA, MessageBoxA, CharNextA > kernel32.dll: GetACP, Sleep, VirtualFree, VirtualAlloc, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, CompareStringA, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle > kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA > user32.dll: CreateWindowExA, WindowFromPoint, WaitMessage, WaitForInputIdle, ValidateRect, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, TabbedTextOutA, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCaret, SetWindowRgn, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongW, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursorPos, SetCursor, SetClipboardData, SetClassLongA, SetCapture, SetActiveWindow, SendNotifyMessageA, SendMessageTimeoutA, SendMessageCallbackA, SendMessageW, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterHotKey, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostThreadMessageA, PostQuitMessage, PostMessageA, PeekMessageW, PeekMessageA, OpenClipboard, OffsetRect, OemToCharBuffA, OemToCharA, MsgWaitForMultipleObjectsEx, MsgWaitForMultipleObjects, MessageBoxW, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LoadStringW, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowUnicode, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageW, IsDialogMessageA, IsClipboardFormatAvailable, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, HideCaret, GetWindowThreadProcessId, GetWindowTextA, GetWindowRgn, GetWindowRect, GetWindowPlacement, GetWindowLongW, GetWindowLongA, GetWindowDC, GetTopWindow, GetTabbedTextExtentA, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMessagePos, GetMessageA, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutNameA, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDoubleClickTime, GetDlgItem, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassNameA, GetClassLongA, GetClassInfoA, GetCaretPos, GetCapture, GetAsyncKeyState, GetActiveWindow, FrameRect, FindWindowExA, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EnumClipboardFormats, EnumChildWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, EmptyClipboard, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageW, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, CopyImage, CloseClipboard, ClientToScreen, ChildWindowFromPointEx, ChildWindowFromPoint, CheckMenuItem, CharUpperBuffW, CharNextW, CharLowerBuffW, CallWindowProcA, CallNextHookEx, BeginPaint, AttachThreadInput, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout > gdi32.dll: UnrealizeObject, TextOutA, StrokePath, StretchBlt, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextJustification, SetTextColor, SetStretchBltMode, SetRectRgn, SetROP2, SetPixel, SetEnhMetaFileBits, SetDIBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SelectClipRgn, SelectClipPath, SaveDC, RoundRect, RestoreDC, Rectangle, RectVisible, RealizePalette, PtInRegion, Polyline, Polygon, PlayEnhMetaFile, PatBlt, OffsetWindowOrgEx, OffsetRgn, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetViewportOrgEx, GetTextMetricsA, GetTextExtentPointA, GetTextExtentPoint32A, GetTextExtentExPointA, GetSystemPaletteEntries, GetStockObject, GetRgnBox, GetPixel, GetPaletteEntries, GetObjectA, GetNearestColor, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetCurrentObject, GetClipRgn, GetClipBox, GetBrushOrgEx, GetBitmapBits, GdiFlush, FrameRgn, FillPath, ExtTextOutA, ExcludeClipRect, EqualRgn, EndPath, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreateRectRgnIndirect, CreateRectRgn, CreatePenIndirect, CreatePatternBrush, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateEllipticRgn, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, CombineRgn, BitBlt, BeginPath > version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA > mpr.dll: WNetGetConnectionA, WNetCancelConnection2A, WNetAddConnection2A > kernel32.dll: lstrlenW, lstrlenA, lstrcpyW, lstrcpyA, lstrcmpiW, lstrcmpiA, lstrcmpA, lstrcatW, WriteProcessMemory, WritePrivateProfileStringA, WriteFile, WideCharToMultiByte, WaitNamedPipeA, WaitForSingleObject, WaitForMultipleObjectsEx, WaitForMultipleObjects, VirtualQueryEx, VirtualQuery, VirtualProtectEx, VirtualProtect, VirtualFree, VirtualAlloc, UnmapViewOfFile, UnlockFile, TerminateThread, TerminateProcess, SystemTimeToFileTime, SuspendThread, Sleep, SizeofResource, SetThreadPriority, SetThreadLocale, SetThreadContext, SetThreadAffinityMask, SetPriorityClass, SetNamedPipeHandleState, SetLastError, SetFileTime, SetFilePointer, SetFileAttributesA, SetEvent, SetErrorMode, SetEndOfFile, ResumeThread, ResetEvent, ReleaseSemaphore, ReleaseMutex, ReadProcessMemory, ReadFile, QueryPerformanceCounter, PulseEvent, OutputDebugStringA, OpenProcess, OpenMutexW, OpenMutexA, OpenFileMappingW, OpenFileMappingA, OpenEventW, OpenEventA, MultiByteToWideChar, MulDiv, MoveFileA, MapViewOfFile, LockResource, LockFile, LocalFree, LocalAlloc, LoadResource, LoadLibraryExA, LoadLibraryW, LoadLibraryA, LeaveCriticalSection, IsBadReadPtr, InitializeCriticalSection, GlobalUnlock, GlobalSize, GlobalMemoryStatus, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetWindowsDirectoryA, GetVolumeInformationA, GetVersionExW, GetVersionExA, GetVersion, GetUserDefaultLCID, GetTimeFormatA, GetTickCount, GetThreadPriority, GetThreadLocale, GetThreadContext, GetTempPathW, GetTempPathA, GetTempFileNameA, GetSystemTime, GetSystemInfo, GetSystemDirectoryW, GetSystemDirectoryA, GetStringTypeExA, GetStdHandle, GetStartupInfoA, GetProcessVersion, GetProcessAffinityMask, GetProcAddress, GetPrivateProfileStringA, GetPriorityClass, GetModuleHandleW, GetModuleHandleA, GetModuleFileNameW, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesW, GetFileAttributesA, GetExitCodeThread, GetExitCodeProcess, GetEnvironmentVariableA, GetDriveTypeA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentThread, GetCurrentProcessId, GetCurrentProcess, GetCurrentDirectoryW, GetCurrentDirectoryA, GetComputerNameA, GetCommandLineA, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FlushFileBuffers, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, ExitProcess, EnumCalendarInfoA, EnterCriticalSection, DuplicateHandle, DeleteFileW, DeleteFileA, DeleteCriticalSection, CreateThread, CreateSemaphoreA, CreateProcessA, CreatePipe, CreateMutexW, CreateMutexA, CreateFileMappingW, CreateFileMappingA, CreateFileW, CreateFileA, CreateEventW, CreateEventA, CreateDirectoryA, CopyFileA, CompareStringW, CompareStringA, CloseHandle > advapi32.dll: SetSecurityDescriptorDacl, RegSetValueExW, RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegFlushKey, RegEnumKeyA, RegDeleteValueA, RegDeleteKeyA, RegCreateKeyExA, RegCloseKey, OpenThreadToken, OpenProcessToken, LookupPrivilegeValueA, IsValidSid, InitializeSecurityDescriptor, GetUserNameA, GetTokenInformation, GetLengthSid, FreeSid, EqualSid, CopySid, AllocateAndInitializeSid, AdjustTokenPrivileges > oleaut32.dll: GetErrorInfo, SysFreeString > ole32.dll: CreateStreamOnHGlobal, CoTaskMemFree, CoTaskMemAlloc, CoCreateInstance, CoUninitialize, CoInitialize > comctl32.dll: _TrackMouseEvent, ImageList_GetImageInfo, ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_GetIcon, ImageList_Remove, ImageList_DrawEx, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_SetImageCount, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls > shell32.dll: Shell_NotifyIconA, ShellExecuteExA, ShellExecuteA, SHGetFileInfoA > shell32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc > IMAGEHLP.DLL: ImageDirectoryEntryToData > kernel32.dll: Sleep > ole32.dll: CLSIDFromString > oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayPutElement, SafeArrayGetElement, SafeArrayUnaccessData, SafeArrayAccessData, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopyInd, VariantCopy, VariantClear, VariantInit > comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA > kernel32.dll: GetVersionExA > wsock32.dll: WSAStartup, WSAGetLastError, gethostbyname, socket, shutdown, setsockopt, send, recv, inet_addr, htons, connect, closesocket > advapi32.dll: GetKernelObjectSecurity > comctl32.dll: ImageList_Write > ole32.dll: GetHGlobalFromStream, CreateStreamOnHGlobal > advapi32.dll: OpenProcessToken ( 0 exports ) Datei MsgApiSys.dll empfangen 2008.10.16 23:19:40 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 5/36 (13.89%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.17.0 2008.10.16 - AntiVir 7.9.0.4 2008.10.16 - Authentium 5.1.0.4 2008.10.16 - Avast 4.8.1248.0 2008.10.15 Win32:PureMorph AVG 8.0.0.161 2008.10.16 - BitDefender 7.2 2008.10.16 - CAT-QuickHeal 9.50 2008.10.16 - ClamAV 0.93.1 2008.10.16 - DrWeb 4.44.0.09170 2008.10.16 - eSafe 7.0.17.0 2008.10.16 - eTrust-Vet 31.6.6151 2008.10.16 - Ewido 4.0 2008.10.16 - F-Prot 4.4.4.56 2008.10.16 - F-Secure 8.0.14332.0 2008.10.16 - Fortinet 3.113.0.0 2008.10.16 - GData 19 2008.10.16 Win32:PureMorph Ikarus T3.1.1.44.0 2008.10.16 Virus.Win32.PureMorph K7AntiVirus 7.10.497 2008.10.16 - Kaspersky 7.0.0.125 2008.10.16 - McAfee 5407 2008.10.16 - Microsoft 1.4005 2008.10.16 - NOD32 3528 2008.10.16 - Norman 5.80.02 2008.10.16 - Panda 9.0.0.4 2008.10.16 - PCTools 4.4.2.0 2008.10.16 - Prevx1 V2 2008.10.16 Fraudulent Security Program Rising 20.66.32.00 2008.10.16 - SecureWeb-Gateway 6.7.6 2008.10.16 - Sophos 4.34.0 2008.10.16 Mal/EncPk-DG Sunbelt 3.1.1728.1 2008.10.16 - Symantec 10 2008.10.16 - TheHacker 6.3.1.0.116 2008.10.16 - TrendMicro 8.700.0.1004 2008.10.16 - VBA32 3.12.8.7 2008.10.16 - ViRobot 2008.10.16.1423 2008.10.16 - VirusBuster 4.5.11.0 2008.10.16 - weitere Informationen File size: 98304 bytes MD5...: 6960a0dc649476e8bbdef922185f47bb SHA1..: fcd6e9033e8de626cbbb0d56386a20e984af3035 SHA256: c35a4c5122f218651ca30b1f2749824c7f477a7846ee57509a6ac48f4d787378 SHA512: c4918daf656fed37de4f033cf950129b331ad1822963da44085714cc71e73014 79b125b35b9afd12e8fa2d80f5ef5a41d40f54849b06a75cbdbc21203aabe95e PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10012639 timedatestamp.....: 0x48f59571 (Wed Oct 15 07:02:09 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .lokgmim 0x1000 0x12412 0x13000 6.41 a4df229bf4bbe8835532051d0f6dd42e .hjlqoxz 0x14000 0x425 0x1000 1.84 dd8b6d1ae61105ce43689d54ea767015 .rcvgzen 0x15000 0x1f80 0x1000 0.47 6fd8f3d2d113c4f7f97d60d509ffdd87 .reloc 0x17000 0x18f6 0x2000 5.96 58185c2a2f53ab5b7f556965096f470c ( 2 imports ) > KERNEL32.dll: GetCurrentThreadId, GetProcAddress, FindFirstChangeNotificationW, LoadLibraryA, SetLastError, ResetEvent, TerminateThread, GetVersion, GetCurrentProcess, GlobalLock, WaitForMultipleObjects, CreateProcessW, LockResource, FindResourceExW, QueryDosDeviceW, FindNextFileW, GetCurrentThread, LoadLibraryW, GetFileSize, GetModuleHandleW, VirtualAlloc, ReadProcessMemory, GlobalAddAtomW, lstrcpyW > GDI32.dll: DeleteDC, CreateICW, StretchBlt, MoveToEx, CreateFontIndirectW, DPtoLP, SetDIBits, LineTo ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=305544D200F74AA180F8016D8C2CDD00D0B55166 HTML-Code: mbr: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK HTML-Code: blacklight: 10/16/08 23:54:54 [Info]: BlackLight Engine 2.2.1092 initialized 10/16/08 23:54:54 [Info]: OS: 5.1 build 2600 (Service Pack 3) 10/16/08 23:54:54 [Note]: 7019 4 10/16/08 23:54:54 [Note]: 7005 0 10/16/08 23:55:00 [Note]: 7006 0 10/16/08 23:55:00 [Note]: 7011 3100 10/16/08 23:55:00 [Note]: 7035 0 10/16/08 23:55:00 [Note]: 7026 0 10/16/08 23:55:00 [Note]: 7026 0 10/16/08 23:55:05 [Note]: FSRAW library version 1.7.1024 10/17/08 00:01:07 [Note]: 2000 1012 10/17/08 00:03:56 [Note]: 7007 0 Ich hoffe, dass Dir das erst mal reicht, um etwas bewerkstelligen zu können. Vielen lieben Dank im Voraus. GuNa & Mfg der P aus B ![]() Geändert von Paglord (16.10.2008 um 23:54 Uhr) |
![]() | #4 |
![]() | ![]() Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec danke root ![]() |
![]() | #5 |
![]() | ![]() Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec Hi root, so, jetzt hab' ich auch den malaware-scan abgeschlossen. HTML-Code: Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1276 Windows 5.1.2600 Service Pack 3 18.10.2008 10:13:03 mbam-log-2008-10-18 (10-12-55).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 147920 Laufzeit: 1 hour(s), 41 minute(s), 44 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{3F17C9F7-AF42-CFA9-E65E-012D444D2324} (Trojan.FakeAlert.H) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\msgapisys (Trojan.FakeAlert.H) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Programme\srhmoxc\MsgApiSys.dll (Trojan.FakeAlert.H) -> No action taken. Erstens kriege ich den Silent Runner Code nicht zum Laufen. Bekomme immer die Fehlermeldung: Fenstertitel: Windows Script Host Skript: c:\Dokumente und Einstellungen\***\Desktop\Silent Runner.vbs Zeile: 96 Zeichen: 13 Fehler: Eine Automatisierungsklasse mit dem Namen "WScript.Shell" wurde nicht gefunden. Code: 80020009 Quelle: WScript.CreateObject Ich hab' auch probiert das zu fixen, aber es will nicht funzen ![]() Habe auch schon an den supporter von silent runner gemailt, evtl bekomm ich da die AW. Das zweite Problem betrifft ComboFix: Laut dem Leitfaden soll ich mir die Windows Wiederherstellungskonsole herunterladen und installieren. Das geht angeblich auch ohne Win CD, allerdings nicht für das XP Service Pack 3, das ich drauf hab. Was soll ich tun, das fürs Sp2 runterladen? Ich habe natürlich gegoogled, aber keine Lösung gefunden. Ich hab die WIn-Cds nicht, weil dieser (SCH...) Rechner dem Sohn meiner Freundin von seinem Vater geschenkt worden ist (hat sich nen neuen gekauft ^^) und angeblich die Cds schon weggeschmissen wurden. Wollte eigentlich von Anfang an das System neu aufsetzen, aber das war mir ja nicht möglich ![]() Wie soll ich jetzt verfahren ![]() Vielen Dank für Deine Hilfe. ![]() MfG das P aus B |
![]() | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec In der von mir verlinkten Anleituing ist eine Lösungsmöglichkeit zum Silentrunners-Problem verlinkt. Hast Du das probiert? Combofix: Es ist nicht zwingend erforderlich, die Wiederherstellungskonsole vorher zu installieren, Du kannst es auch so ausführen.
__________________ --> Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec |
![]() |
Themen zu Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec |
ad.yieldmanager, adfarm, adobe, avg, avg free, avg security toolbar, bho, computer, converter, e-mail, erste mal, excel, firefox, hijackthis, index, internet, internet explorer, magix, maßnahme, monitor, mozilla, mssql, object, popup, prefetch, rundll, security, server, software, superantispyware, system, virtumonde, windows, windows xp, windows xp sp3, windows\system32\drivers, xp sp3 |