Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec

Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec


Plagegeister aller Art und deren Bekämpfung: Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.10.2008, 15:46   #1
Paglord
 
Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec - Icon27

Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec


Hallo erstmal,

ich muss euch mal sagen, dass ich Eure Site echt klasse finde, das ist eine große Hilfe für viele Verzweifelte! :aplaus:


Ich habe mir, wahrscheinlich unter anderem, die o.a. Plagegeister eingefangen. Hab heute auch schon superantivirus installiert und drauf angetzt und die beiden sitzen jetzt in der Quarantäne.

Bis gestern hatte ich nur den CCleaner, Spybot SD und avg free installiert.
Spybot fand gestern virtumonde und hat es angeblich auch weg gekriegt (kann das sein?).

Ich habe mich schon viel im Forum umgesehen, aber da ich bislang schon einige Maßnahmen durchgeführt habe, kann ich die Infos nicht voll für mich umsetzen. Ich bin ein ziemlicher Laie, sobald es um die tiefen Innereien der Software geht und weiß jetzt nicht mehr weiter.

Hier nun die Logs (hoffe ich hab die richtig bearbeitet, ist ja das erste mal):

HiJack This:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:56:54, on 16.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\WINDOWS\system32\cchservice.exe
C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\tray\wintmr.exe
C:\WINDOWS\system32\cc32\webtmr.exe
C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVG\AVG8\avgui.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: McAfee Privacy Service Popup Blocker - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - (no file)
O2 - BHO: (no name) - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ChicoSys] C:\WINDOWS\system32\cc32\webtmr.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VAIO Update 4] "C:\Programme\Sony\VAIO Update 4\VAIOUpdt.exe" /Stationary
O4 - HKCU\..\Run: [CCWinTray] C:\WINDOWS\Tray\wintmr.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - S-1-5-18 Startup: VAIO Launcher.lnk = C:\Programme\Sony\VAIO Launcher\Launcher.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: VAIO Launcher.lnk = C:\Programme\Sony\VAIO Launcher\Launcher.exe (User 'Default user')
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - hxxp://picasaweb.google.de/s/v/26.30/uploader2.cab
O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - hxxp://bangel-waltersdorf.dyndns.org:1121/img/NetCamPlayerWeb11g.ocx
O16 - DPF: {BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} (CPlayFirstddfotgControl Object) - hxxp://games.bigfishgames.com/de_dinerdashfloontheg/online/ddfotg.1.0.0.33.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game08.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O21 - SSODL: MsgApiSys - {3F17C9F7-AF42-CFA9-E65E-012D444D2324} - C:\Programme\srhmoxc\MsgApiSys.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\image converter 2\IcVzMon.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: VAIO Entertainment Aggregation and Control Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
O23 - Service: VAIO Entertainment Task Scheduler - Sony Corporation - C:\Programme\Sony\vaio entertainment\VzTaskScheduler.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
O23 - Service: Windows-CCHook-Service - Salfeld Computer - C:\WINDOWS\system32\cchservice.exe

--
End of file - 12089 bytes

Spybot SD:
Zitat:
--- Report generated: 2008-10-15 12:04 ---

Tipp des Tages: Klicken Sie auf den Balken rechts, um mehr Informationen zu sehen! ()


CoolWWWSearch.Svchost32: [SBI $7C91BE16] Autorun-Einstellungen (Registrierungsdatenbank-Wert, fixed)
HKEY_USERS\S-1-5-21-2268993740-660067405-1883088114-1017\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SVCHOST.EXE

CoolWWWSearch.Svchost32: [SBI $7C91BE16] Programmdatei (Datei, fixed)
C:\WINDOWS\system32\drivers\svchost.exe

Virtumonde: [SBI $3BE84E58] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-2268993740-660067405-1883088114-1017\Software\mwc

Virtumonde: [SBI $0FB400C8] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-2268993740-660067405-1883088114-1017\Software\wkey


--- Spybot - Search & Destroy version: 1.6.0 (build: 20080707) ---

2008-07-07 blindman.exe (1.0.0.8)
2008-07-07 SDMain.exe (1.0.0.6)
2008-07-07 SDUpdate.exe (1.6.0.8)
2008-07-07 SDWinSec.exe (1.0.0.12)
2008-07-07 SpybotSD.exe (1.6.0.30)
2008-07-07 TeaTimer.exe (1.6.0.20)
2008-09-20 unins000.exe (51.49.0.0)
2008-07-07 Update.exe (1.6.0.7)
2008-07-07 advcheck.dll (1.6.1.12)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-09-15 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2008-07-07 Tools.dll (2.1.5.7)
2008-09-02 Includes\Adware.sbi (*)
2008-10-07 Includes\AdwareC.sbi (*)
2008-06-03 Includes\Cookies.sbi (*)
2008-09-02 Includes\Dialer.sbi (*)
2008-09-09 Includes\DialerC.sbi (*)
2008-07-23 Includes\HeavyDuty.sbi (*)
2008-09-02 Includes\Hijackers.sbi (*)
2008-10-07 Includes\HijackersC.sbi (*)
2008-09-09 Includes\Keyloggers.sbi (*)
2008-09-30 Includes\KeyloggersC.sbi (*)
2008-10-08 Includes\Malware.sbi (*)
2008-10-08 Includes\MalwareC.sbi (*)
2008-09-02 Includes\PUPS.sbi (*)
2008-10-07 Includes\PUPSC.sbi (*)
2007-11-07 Includes\Revision.sbi (*)
2008-06-18 Includes\Security.sbi (*)
2008-09-30 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2008-09-09 Includes\Spyware.sbi (*)
2008-09-23 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti
2008-09-30 Includes\Trojans.sbi (*)
2008-10-07 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

SuperAntiSpyware:
Zitat:
SUPERAntiSpyware Scan Log

Generated 10/16/2008 at 12:24 PM

Application Version : 4.21.1004

Core Rules Database Version : 3599
Trace Rules Database Version: 1585

Scan type : Complete Scan
Total Scan Time : 01:05:20

Memory items scanned : 499
Memory threats detected : 1
Registry items scanned : 6071
Registry threats detected : 2
File items scanned : 108461
File threats detected : 65

Trojan.Dropper/Gen
C:\WINDOWS\SYSTEM32\VUFSJUTK.EXE
C:\WINDOWS\SYSTEM32\VUFSJUTK.EXE
[acthlpgen] C:\WINDOWS\SYSTEM32\VUFSJUTK.EXE
C:\WINDOWS\Prefetch\VUFSJUTK.EXE-2ACB3807.pf

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\patty@de.sitestat[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.etracker[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.adfill[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@zanox[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tribalfusion[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@webmasterplan[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@tracking.3gnet[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@apmebf[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@tribalfusion[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@achtung-sexy[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@serving-sys[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@overture[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@media6degrees[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@zanox[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@ad.salebroker[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@ads.pointroll[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@ad.zanox[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@weborama[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@mediaplex[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@groupmtrack[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@doubleclick[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@hitbox[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@a6.adserver01[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@indextools[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@arcor.122.2o7[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@media.adrevolver[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@www.etracker[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@track.webtrekk[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@2o7[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@adtech[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@adviva[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@statcounter[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@de2.komtrack[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@ad.adition[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@komtrack[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@ad.trackbar[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@adopt.euroclick[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@adrevolver[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@ads.ads.netlog[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@ads.heias[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@ads.jinkads[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@ads.netlog[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@adserver.easyad[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@adsrv.admediate[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@advertising[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@atdmt[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@ehg-twi.hitbox[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@kupona.122.2o7[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@rotator.adjuggler[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@tradedoubler[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@traffictrack[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@webmasterplan[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@www.counter-gratis[1].txt

Trojan.DNSChanger-Codec
HKU\S-1-5-21-2268993740-660067405-1883088114-1017\Software\uninstall

Ich hoffe, dass diese Infos euch weiterbringen! Über Hilfe, auch wenn das bestimmt ein schwieriger Fall wird, wäre ich Euch sehr dankbar.


Mfg der P aus B

Alt 16.10.2008, 21:50   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec - Standard

Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec


Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\tray\wintmr.exe
C:\Programme\srhmoxc\MsgApiSys.dll
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________

__________________
Alt 16.10.2008, 23:30   #3
Paglord
 
Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec - Daumen hoch

Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec



Hallöle root 24,

zunächst einmal möchte ich Dir für die umfassende Antwort danken!!! :aplaus:

Ich hoffe Du kannst anhand der vorhandenen Logs schon etwas feststellen. Mehr schaffe ich heut leider nicht mehr. Hoffe, dass ich dann moergen Abend wieder ON gehen kann. Evtl. Ansonsten schaff ich das erst am WE.


Zu1:

Was Du mit "Prüfsumme" gemeint hast, war mir leider nicht gant klar.

HTML-Code:
Datei wintmr.exe empfangen 2008.10.16 23:13:49 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/36 (2.78%)

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.10.17.0	2008.10.16	-
AntiVir	7.9.0.4	2008.10.16	-
Authentium	5.1.0.4	2008.10.16	-
Avast	4.8.1248.0	2008.10.15	-
AVG	8.0.0.161	2008.10.16	-
BitDefender	7.2	2008.10.16	-
CAT-QuickHeal	9.50	2008.10.16	-
ClamAV	0.93.1	2008.10.16	-
DrWeb	4.44.0.09170	2008.10.16	-
eSafe	7.0.17.0	2008.10.16	-
eTrust-Vet	31.6.6151	2008.10.16	-
Ewido	4.0	2008.10.16	-
F-Prot	4.4.4.56	2008.10.16	-
F-Secure	8.0.14332.0	2008.10.16	Suspicious:W32/Kolweb.d!Gemini
Fortinet	3.113.0.0	2008.10.16	-
GData	19	2008.10.16	-
Ikarus	T3.1.1.44.0	2008.10.16	-
K7AntiVirus	7.10.497	2008.10.16	-
Kaspersky	7.0.0.125	2008.10.16	-
McAfee	5407	2008.10.16	-
Microsoft	1.4005	2008.10.16	-
NOD32	3528	2008.10.16	-
Norman	5.80.02	2008.10.16	-
Panda	9.0.0.4	2008.10.16	-
PCTools	4.4.2.0	2008.10.16	-
Prevx1	V2	2008.10.16	-
Rising	20.66.32.00	2008.10.16	-
SecureWeb-Gateway	6.7.6	2008.10.16	-
Sophos	4.34.0	2008.10.16	-
Sunbelt	3.1.1728.1	2008.10.16	-
Symantec	10	2008.10.16	-
TheHacker	6.3.1.0.116	2008.10.16	-
TrendMicro	8.700.0.1004	2008.10.16	-
VBA32	3.12.8.7	2008.10.16	-
ViRobot	2008.10.16.1423	2008.10.16	-
VirusBuster	4.5.11.0	2008.10.16	-
weitere Informationen
File size: 4748728 bytes
MD5...: 5af6b7ff333ea6d0bd1bb549ea14df3a
SHA1..: 404183baacb9b1172e16df590b015604a98d1523
SHA256: 2f125089475cfbecc4e7d28325d63eb90ad9a4d017a6c1b63fe4a47ed24b9da5
SHA512: e7b5babc06e1de301b44c1330df786b68a38b7b09addff2fff34628709feb030
0bbddd02a6e0970a4f90ab25f950f90ff689f1c37ef77e33867e969157f46145
PEiD..: -
TrID..: File type identification
InstallShield setup (74.6%)
Win32 Executable Generic (14.7%)
Win16/32 Executable Delphi generic (3.5%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6dd234
timedatestamp.....: 0x48a8691c (Sun Aug 17 18:08:28 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2d5c34 0x2d5e00 6.57 7bc9937f03488ef6394443e7c5e7ee0c
.itext 0x2d7000 0x6520 0x6600 6.34 24c3d9afb7ea4b5626bb230f4b5b7b55
.data 0x2de000 0x148f8 0x14a00 6.82 99582057c3d768435efbed29012c5e36
.bss 0x2f3000 0xa82c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x2fe000 0x4384 0x4400 5.30 1bed7794056ab9b3c269b31fe1557bee
.tls 0x303000 0x50 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x304000 0x18 0x200 0.21 d456e38a23e46cf5203b8dfb0afa48da
.reloc 0x305000 0x31c88 0x31e00 6.62 adb59bc45e6e21896dfdff33cda782e6
.rsrc 0x337000 0x68200 0x68200 5.42 d0a460b70865a5235ca7f41dc665958a

( 27 imports )
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> user32.dll: GetKeyboardType, DestroyWindow, LoadStringA, MessageBoxA, CharNextA
> kernel32.dll: GetACP, Sleep, VirtualFree, VirtualAlloc, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, CompareStringA, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> user32.dll: CreateWindowExA, WindowFromPoint, WaitMessage, WaitForInputIdle, ValidateRect, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, TabbedTextOutA, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCaret, SetWindowRgn, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongW, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursorPos, SetCursor, SetClipboardData, SetClassLongA, SetCapture, SetActiveWindow, SendNotifyMessageA, SendMessageTimeoutA, SendMessageCallbackA, SendMessageW, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterHotKey, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostThreadMessageA, PostQuitMessage, PostMessageA, PeekMessageW, PeekMessageA, OpenClipboard, OffsetRect, OemToCharBuffA, OemToCharA, MsgWaitForMultipleObjectsEx, MsgWaitForMultipleObjects, MessageBoxW, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LoadStringW, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowUnicode, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageW, IsDialogMessageA, IsClipboardFormatAvailable, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, HideCaret, GetWindowThreadProcessId, GetWindowTextA, GetWindowRgn, GetWindowRect, GetWindowPlacement, GetWindowLongW, GetWindowLongA, GetWindowDC, GetTopWindow, GetTabbedTextExtentA, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMessagePos, GetMessageA, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutNameA, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDoubleClickTime, GetDlgItem, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassNameA, GetClassLongA, GetClassInfoA, GetCaretPos, GetCapture, GetAsyncKeyState, GetActiveWindow, FrameRect, FindWindowExA, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EnumClipboardFormats, EnumChildWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, EmptyClipboard, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageW, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, CopyImage, CloseClipboard, ClientToScreen, ChildWindowFromPointEx, ChildWindowFromPoint, CheckMenuItem, CharUpperBuffW, CharNextW, CharLowerBuffW, CallWindowProcA, CallNextHookEx, BeginPaint, AttachThreadInput, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
> gdi32.dll: UnrealizeObject, TextOutA, StrokePath, StretchBlt, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextJustification, SetTextColor, SetStretchBltMode, SetRectRgn, SetROP2, SetPixel, SetEnhMetaFileBits, SetDIBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SelectClipRgn, SelectClipPath, SaveDC, RoundRect, RestoreDC, Rectangle, RectVisible, RealizePalette, PtInRegion, Polyline, Polygon, PlayEnhMetaFile, PatBlt, OffsetWindowOrgEx, OffsetRgn, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetViewportOrgEx, GetTextMetricsA, GetTextExtentPointA, GetTextExtentPoint32A, GetTextExtentExPointA, GetSystemPaletteEntries, GetStockObject, GetRgnBox, GetPixel, GetPaletteEntries, GetObjectA, GetNearestColor, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetCurrentObject, GetClipRgn, GetClipBox, GetBrushOrgEx, GetBitmapBits, GdiFlush, FrameRgn, FillPath, ExtTextOutA, ExcludeClipRect, EqualRgn, EndPath, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreateRectRgnIndirect, CreateRectRgn, CreatePenIndirect, CreatePatternBrush, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateEllipticRgn, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, CombineRgn, BitBlt, BeginPath
> version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> mpr.dll: WNetGetConnectionA, WNetCancelConnection2A, WNetAddConnection2A
> kernel32.dll: lstrlenW, lstrlenA, lstrcpyW, lstrcpyA, lstrcmpiW, lstrcmpiA, lstrcmpA, lstrcatW, WriteProcessMemory, WritePrivateProfileStringA, WriteFile, WideCharToMultiByte, WaitNamedPipeA, WaitForSingleObject, WaitForMultipleObjectsEx, WaitForMultipleObjects, VirtualQueryEx, VirtualQuery, VirtualProtectEx, VirtualProtect, VirtualFree, VirtualAlloc, UnmapViewOfFile, UnlockFile, TerminateThread, TerminateProcess, SystemTimeToFileTime, SuspendThread, Sleep, SizeofResource, SetThreadPriority, SetThreadLocale, SetThreadContext, SetThreadAffinityMask, SetPriorityClass, SetNamedPipeHandleState, SetLastError, SetFileTime, SetFilePointer, SetFileAttributesA, SetEvent, SetErrorMode, SetEndOfFile, ResumeThread, ResetEvent, ReleaseSemaphore, ReleaseMutex, ReadProcessMemory, ReadFile, QueryPerformanceCounter, PulseEvent, OutputDebugStringA, OpenProcess, OpenMutexW, OpenMutexA, OpenFileMappingW, OpenFileMappingA, OpenEventW, OpenEventA, MultiByteToWideChar, MulDiv, MoveFileA, MapViewOfFile, LockResource, LockFile, LocalFree, LocalAlloc, LoadResource, LoadLibraryExA, LoadLibraryW, LoadLibraryA, LeaveCriticalSection, IsBadReadPtr, InitializeCriticalSection, GlobalUnlock, GlobalSize, GlobalMemoryStatus, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetWindowsDirectoryA, GetVolumeInformationA, GetVersionExW, GetVersionExA, GetVersion, GetUserDefaultLCID, GetTimeFormatA, GetTickCount, GetThreadPriority, GetThreadLocale, GetThreadContext, GetTempPathW, GetTempPathA, GetTempFileNameA, GetSystemTime, GetSystemInfo, GetSystemDirectoryW, GetSystemDirectoryA, GetStringTypeExA, GetStdHandle, GetStartupInfoA, GetProcessVersion, GetProcessAffinityMask, GetProcAddress, GetPrivateProfileStringA, GetPriorityClass, GetModuleHandleW, GetModuleHandleA, GetModuleFileNameW, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesW, GetFileAttributesA, GetExitCodeThread, GetExitCodeProcess, GetEnvironmentVariableA, GetDriveTypeA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentThread, GetCurrentProcessId, GetCurrentProcess, GetCurrentDirectoryW, GetCurrentDirectoryA, GetComputerNameA, GetCommandLineA, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FlushFileBuffers, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, ExitProcess, EnumCalendarInfoA, EnterCriticalSection, DuplicateHandle, DeleteFileW, DeleteFileA, DeleteCriticalSection, CreateThread, CreateSemaphoreA, CreateProcessA, CreatePipe, CreateMutexW, CreateMutexA, CreateFileMappingW, CreateFileMappingA, CreateFileW, CreateFileA, CreateEventW, CreateEventA, CreateDirectoryA, CopyFileA, CompareStringW, CompareStringA, CloseHandle
> advapi32.dll: SetSecurityDescriptorDacl, RegSetValueExW, RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegFlushKey, RegEnumKeyA, RegDeleteValueA, RegDeleteKeyA, RegCreateKeyExA, RegCloseKey, OpenThreadToken, OpenProcessToken, LookupPrivilegeValueA, IsValidSid, InitializeSecurityDescriptor, GetUserNameA, GetTokenInformation, GetLengthSid, FreeSid, EqualSid, CopySid, AllocateAndInitializeSid, AdjustTokenPrivileges
> oleaut32.dll: GetErrorInfo, SysFreeString
> ole32.dll: CreateStreamOnHGlobal, CoTaskMemFree, CoTaskMemAlloc, CoCreateInstance, CoUninitialize, CoInitialize
> comctl32.dll: _TrackMouseEvent, ImageList_GetImageInfo, ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_GetIcon, ImageList_Remove, ImageList_DrawEx, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_SetImageCount, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls
> shell32.dll: Shell_NotifyIconA, ShellExecuteExA, ShellExecuteA, SHGetFileInfoA
> shell32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc
> IMAGEHLP.DLL: ImageDirectoryEntryToData
> kernel32.dll: Sleep
> ole32.dll: CLSIDFromString
> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayPutElement, SafeArrayGetElement, SafeArrayUnaccessData, SafeArrayAccessData, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopyInd, VariantCopy, VariantClear, VariantInit
> comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA
> kernel32.dll: GetVersionExA
> wsock32.dll: WSAStartup, WSAGetLastError, gethostbyname, socket, shutdown, setsockopt, send, recv, inet_addr, htons, connect, closesocket
> advapi32.dll: GetKernelObjectSecurity
> comctl32.dll: ImageList_Write
> ole32.dll: GetHGlobalFromStream, CreateStreamOnHGlobal
> advapi32.dll: OpenProcessToken

( 0 exports )


Datei MsgApiSys.dll empfangen 2008.10.16 23:19:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 5/36 (13.89%)

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.10.17.0	2008.10.16	-
AntiVir	7.9.0.4	2008.10.16	-
Authentium	5.1.0.4	2008.10.16	-
Avast	4.8.1248.0	2008.10.15	Win32:PureMorph
AVG	8.0.0.161	2008.10.16	-
BitDefender	7.2	2008.10.16	-
CAT-QuickHeal	9.50	2008.10.16	-
ClamAV	0.93.1	2008.10.16	-
DrWeb	4.44.0.09170	2008.10.16	-
eSafe	7.0.17.0	2008.10.16	-
eTrust-Vet	31.6.6151	2008.10.16	-
Ewido	4.0	2008.10.16	-
F-Prot	4.4.4.56	2008.10.16	-
F-Secure	8.0.14332.0	2008.10.16	-
Fortinet	3.113.0.0	2008.10.16	-
GData	19	2008.10.16	Win32:PureMorph
Ikarus	T3.1.1.44.0	2008.10.16	Virus.Win32.PureMorph
K7AntiVirus	7.10.497	2008.10.16	-
Kaspersky	7.0.0.125	2008.10.16	-
McAfee	5407	2008.10.16	-
Microsoft	1.4005	2008.10.16	-
NOD32	3528	2008.10.16	-
Norman	5.80.02	2008.10.16	-
Panda	9.0.0.4	2008.10.16	-
PCTools	4.4.2.0	2008.10.16	-
Prevx1	V2	2008.10.16	Fraudulent Security Program
Rising	20.66.32.00	2008.10.16	-
SecureWeb-Gateway	6.7.6	2008.10.16	-
Sophos	4.34.0	2008.10.16	Mal/EncPk-DG
Sunbelt	3.1.1728.1	2008.10.16	-
Symantec	10	2008.10.16	-
TheHacker	6.3.1.0.116	2008.10.16	-
TrendMicro	8.700.0.1004	2008.10.16	-
VBA32	3.12.8.7	2008.10.16	-
ViRobot	2008.10.16.1423	2008.10.16	-
VirusBuster	4.5.11.0	2008.10.16	-
weitere Informationen
File size: 98304 bytes
MD5...: 6960a0dc649476e8bbdef922185f47bb
SHA1..: fcd6e9033e8de626cbbb0d56386a20e984af3035
SHA256: c35a4c5122f218651ca30b1f2749824c7f477a7846ee57509a6ac48f4d787378
SHA512: c4918daf656fed37de4f033cf950129b331ad1822963da44085714cc71e73014
79b125b35b9afd12e8fa2d80f5ef5a41d40f54849b06a75cbdbc21203aabe95e
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10012639
timedatestamp.....: 0x48f59571 (Wed Oct 15 07:02:09 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.lokgmim 0x1000 0x12412 0x13000 6.41 a4df229bf4bbe8835532051d0f6dd42e
.hjlqoxz 0x14000 0x425 0x1000 1.84 dd8b6d1ae61105ce43689d54ea767015
.rcvgzen 0x15000 0x1f80 0x1000 0.47 6fd8f3d2d113c4f7f97d60d509ffdd87
.reloc 0x17000 0x18f6 0x2000 5.96 58185c2a2f53ab5b7f556965096f470c

( 2 imports )
> KERNEL32.dll: GetCurrentThreadId, GetProcAddress, FindFirstChangeNotificationW, LoadLibraryA, SetLastError, ResetEvent, TerminateThread, GetVersion, GetCurrentProcess, GlobalLock, WaitForMultipleObjects, CreateProcessW, LockResource, FindResourceExW, QueryDosDeviceW, FindNextFileW, GetCurrentThread, LoadLibraryW, GetFileSize, GetModuleHandleW, VirtualAlloc, ReadProcessMemory, GlobalAddAtomW, lstrcpyW
> GDI32.dll: DeleteDC, CreateICW, StretchBlt, MoveToEx, CreateFontIndirectW, DPtoLP, SetDIBits, LineTo

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=305544D200F74AA180F8016D8C2CDD00D0B55166
Zu 3:


HTML-Code:
mbr:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Zu 4:

HTML-Code:
blacklight:

10/16/08 23:54:54 [Info]: BlackLight Engine 2.2.1092 initialized
10/16/08 23:54:54 [Info]: OS: 5.1 build 2600 (Service Pack 3)
10/16/08 23:54:54 [Note]: 7019 4
10/16/08 23:54:54 [Note]: 7005 0
10/16/08 23:55:00 [Note]: 7006 0
10/16/08 23:55:00 [Note]: 7011 3100
10/16/08 23:55:00 [Note]: 7035 0
10/16/08 23:55:00 [Note]: 7026 0
10/16/08 23:55:00 [Note]: 7026 0
10/16/08 23:55:05 [Note]: FSRAW library version 1.7.1024
10/17/08 00:01:07 [Note]: 2000 1012
10/17/08 00:03:56 [Note]: 7007 0
Den Malaware-Scan schaff' ich heut' leider nicht mehr. Der Schlaf ruft !!! Wie gesagt: "Evtl morgen."

Ich hoffe, dass Dir das erst mal reicht, um etwas bewerkstelligen zu können. Vielen lieben Dank im Voraus.

GuNa & Mfg der P aus B
__________________
Geändert von Paglord (16.10.2008 um 23:54 Uhr)

Alt 16.10.2008, 23:40   #4
luigi060482
 
Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec - Standard

Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec


danke root

Alt 18.10.2008, 11:47   #5
Paglord
 
Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec - Icon27

Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec


Hi root,

so, jetzt hab' ich auch den malaware-scan abgeschlossen.

HTML-Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1276
Windows 5.1.2600 Service Pack 3

18.10.2008 10:13:03
mbam-log-2008-10-18 (10-12-55).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 147920
Laufzeit: 1 hour(s), 41 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{3F17C9F7-AF42-CFA9-E65E-012D444D2324} (Trojan.FakeAlert.H) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\msgapisys (Trojan.FakeAlert.H) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\srhmoxc\MsgApiSys.dll (Trojan.FakeAlert.H) -> No action taken.
Jetzt hab ich allerdings zwei weitere Probleme:
Erstens kriege ich den Silent Runner Code nicht zum Laufen. Bekomme immer die Fehlermeldung:
Fenstertitel: Windows Script Host

Skript: c:\Dokumente und Einstellungen\***\Desktop\Silent Runner.vbs
Zeile: 96
Zeichen: 13
Fehler: Eine Automatisierungsklasse mit dem Namen "WScript.Shell" wurde nicht gefunden.
Code: 80020009
Quelle: WScript.CreateObject

Ich hab' auch probiert das zu fixen, aber es will nicht funzen
Habe auch schon an den supporter von silent runner gemailt, evtl bekomm ich da die AW.

Das zweite Problem betrifft ComboFix:

Laut dem Leitfaden soll ich mir die Windows Wiederherstellungskonsole herunterladen und installieren. Das geht angeblich auch ohne Win CD, allerdings nicht für das XP Service Pack 3, das ich drauf hab. Was soll ich tun, das fürs Sp2 runterladen? Ich habe natürlich gegoogled, aber keine Lösung gefunden. Ich hab die WIn-Cds nicht, weil dieser (SCH...) Rechner dem Sohn meiner Freundin von seinem Vater geschenkt worden ist (hat sich nen neuen gekauft ^^) und angeblich die Cds schon weggeschmissen wurden. Wollte eigentlich von Anfang an das System neu aufsetzen, aber das war mir ja nicht möglich

Wie soll ich jetzt verfahren

Vielen Dank für Deine Hilfe.

MfG das P aus B


Alt 19.10.2008, 18:02   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec - Icon32

Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec


In der von mir verlinkten Anleituing ist eine Lösungsmöglichkeit zum Silentrunners-Problem verlinkt. Hast Du das probiert?

Combofix: Es ist nicht zwingend erforderlich, die Wiederherstellungskonsole vorher zu installieren, Du kannst es auch so ausführen.
__________________
--> Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec

Antwort

Themen zu Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec
ad.yieldmanager, adfarm, adobe, avg, avg free, avg security toolbar, bho, computer, converter, e-mail, erste mal, excel, firefox, hijackthis, index, internet, internet explorer, magix, maßnahme, monitor, mozilla, mssql, object, popup, prefetch, rundll, security, server, software, superantispyware, system, virtumonde, windows, windows xp, windows xp sp3, windows\system32\drivers, xp sp3


« TR/Spy Pophot.cof | cmd.exe nach backdoor trojan befallen? »


Ähnliche Themen: Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec


  1. TR/ATRAPS.Gen und TR/Kazy durch Antivir gemeldet; ferner Trojan.Agent.MRGGen, Trojan.0Access, Trojan.Dropper.BCMiner
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (10)
  2. Trojan.Dropper & Trojan.FakeAlert & Trojan.Downloader
    Plagegeister aller Art und deren Bekämpfung - 14.10.2012 (17)
  3. Virenfund Trojan.Generic.7552386 und Trojan.Sirefef.FY nach GVU-Befall
    Log-Analyse und Auswertung - 03.08.2012 (15)
  4. Rootkit.0Access, Trojan.Sirefef, Trojan.Small Befall
    Plagegeister aller Art und deren Bekämpfung - 15.07.2012 (3)
  5. Spam mails vom computer? Trojan.sirefef, Trojan.dropper, trojan.small, etc.etc.
    Plagegeister aller Art und deren Bekämpfung - 03.07.2012 (13)
  6. Eventueller Befall von Trojan-Dropper.Win32.Injector.ewlp
    Log-Analyse und Auswertung - 21.05.2012 (1)
  7. Trojan.BHO, Spyware.Passwords.XGen, Trojan.Dropper und Trojan.Agent mit Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  8. Stark trojanerverseuchtes System! (Trojan Buzuss, Backdoor Trojan, Trojan Dropper,..)
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (3)
  9. Diverse Trojaner vom Typ Trojan.Rodecap, Trojan.Dropper und Trojan.Agent! Brauche dringend Hilfe!
    Log-Analyse und Auswertung - 09.08.2010 (16)
  10. Trojan-Dropper, Trojaner-Befall allg.
    Plagegeister aller Art und deren Bekämpfung - 26.07.2009 (10)
  11. Trojan.DNSChanger.ct
    Plagegeister aller Art und deren Bekämpfung - 21.05.2009 (28)
  12. Trojan.DNSChanger und weiteres
    Plagegeister aller Art und deren Bekämpfung - 11.05.2009 (15)
  13. Trojan.DNSChanger-Codec
    Plagegeister aller Art und deren Bekämpfung - 26.04.2009 (0)
  14. Trojan.DNSChanger befall
    Plagegeister aller Art und deren Bekämpfung - 06.04.2009 (40)
  15. Trojan DNSChanger
    Plagegeister aller Art und deren Bekämpfung - 20.03.2009 (2)
  16. Trojan.DNSChanger
    Plagegeister aller Art und deren Bekämpfung - 03.03.2009 (102)
  17. Probleme mit Trojan.Spy.Vbstat.H und Trojan.Virtumonde.IC
    Log-Analyse und Auswertung - 08.10.2007 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec - Hallo erstmal, ich muss euch mal sagen, dass ich Eure Site echt klasse finde, das ist eine große Hilfe für viele Verzweifelte! :aplaus: Ich habe mir, wahrscheinlich unter anderem, die - Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec...
Archiv
Du betrachtest: Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131