Trojaner-Board - Virtumonde (von Ad-Aware gefunden)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Virtumonde (von Ad-Aware gefunden) (https://www.trojaner-board.de/43373-virtumonde-ad-aware-gefunden.html)

Virtumonde (von Ad-Aware gefunden)

Mein Ad-Aware hat heute einige Viren gefunden und teilweise gelöscht. Nur 'Virtumonde' hat es nicht gelöscht bekommen, da hab ich mir die "Vundofix.exe" runtergeladen. Nach Start und Scan habe ich alle gefundenen Dateien gelöscht. Bei einem erneuten Scan mit dem Tool werden sie auch nicht mehr angezeigt, angeblich sei alles 'clean'. Ein neuer Scan mit Ad-Aware zeigte mir aber, dass in der Registry noch Teile von dem Virus übriggeblieben sind.

Ich weiß nicht, ob ein HiJack Log-File hier irgendwas bringt, aber vielleicht kann man dort sehen, ob dort noch irgendetwas Verdächtiges ist. Wär nett, wenn sich das mal jemand anschaut, danke!

Logfile:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 15:14:40, on 12.09.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe

C:\Programme\MagicRotation\MagicPvt.exe

C:\Programme\Java\jre1.6.0_02\bin\jusched.exe

C:\Programme\SEC\MT4.0\GammaTray.exe

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\Programme\SEC\MT4.0\MagicTune.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\Diletant\Desktop\HijackThis.exe
 

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: (no name) - {C63396BE-26C7-4CD6-9B18-0D71787DDDC0} - C:\WINDOWS\system32\awtqp.dll (file missing)

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MagicRotation] C:\Programme\MagicRotation\MagicPvt.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"

O4 - Global Startup: Color Calibration.lnk = ?

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: MagicTune 4.0.lnk = ?

O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169732200527

O17 - HKLM\System\CCS\Services\Tcpip\..\{0432CA95-B821-4C8F-8790-9F9549E52026}: NameServer = 217.237.149.142 217.237.150.205

O17 - HKLM\System\CS1\Services\Tcpip\..\{0432CA95-B821-4C8F-8790-9F9549E52026}: NameServer = 217.237.149.142 217.237.150.205

O17 - HKLM\System\CS2\Services\Tcpip\..\{0432CA95-B821-4C8F-8790-9F9549E52026}: NameServer = 217.237.149.142 217.237.150.205

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sansa Updater Service (SansaService) - Unknown owner - C:\Programme\SanDisk\Sansa Updater\SansaSvr.exe (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

http://www.world-of-smilies.com/smil...18_x_b_f_b.gif

Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:

Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)

http://virus-protect.org/artikel/bilder/bobby.gif

Zitat:

awtqp.dll

Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

Gruß
Sunny

Okay, habe die Anleitungen befolgt. Das sind die Ergebnisse der Scans:

RegSearch:

Code:

Windows Registry Editor Version 5.00
 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.5.0
 

; Results at 12.09.2007 16:34:48 for strings:

;  'awtqp.dll'

; Strings excluded from search:

;  (None)

; Search in: 

; Registry Keys  Registry Values  Registry Data  

; HKEY_LOCAL_MACHINE  HKEY_USERS  
 
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C63396BE-26C7-4CD6-9B18-0D71787DDDC0}\InprocServer32]

@="C:\\WINDOWS\\system32\\awtqp.dll"
 

; End Of The Log...

MWAV:

Code:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Header 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  

find.bat Version 2007.06.16.01 
 

Microsoft Windows XP [Version 5.1.2600]

Bootmodus: NORMAL 

    

eScan Version: 9.4.2 

Sprache: German 

C:\DOKUME~1\Benutzername\LOKALE~1\Temp\MWAV.LOG

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Infektionsmeldungen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 

 

~~~~~~~~~~~ 
 Dateien 

~~~~~~~~~~~ 

~~~~ Infected files 

~~~~~~~~~~~ 

~~~~~~~~~~~ 

~~~~ Tagged files 

~~~~~~~~~~~ 

~~~~~~~~~~~ 

~~~~ Offending files 

~~~~~~~~~~~ 

~~~~~~~~~~~ 
 Ordner 

~~~~~~~~~~~ 

~~~~~~~~~~~ 
 Registry 

~~~~~~~~~~~ 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Diverses 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

~~~~~~~~~~~~~~~~~~~~~~ 
 Prozesse und Module 

~~~~~~~~~~~~~~~~~~~~~~ 

~~~~~~~~~~~~~~~~~~~~~~ 
 Scanfehler 

~~~~~~~~~~~~~~~~~~~~~~ 

~~~~~~~~~~~~~~~~~~~~~~ 
 Hosts-Datei 

~~~~~~~~~~~~~~~~~~~~~~ 

DataBasePath: %SystemRoot%\System32\drivers\etc 

Zeilen die nicht dem Standard entsprechen: 

C:\WINDOWS\System32\drivers\etc\hosts :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Statistiken: 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Scan-Optionen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Specherüberprüfung: Aktiviert 

 Registry Überprüfung: Aktiviert 

 System-Ordner Überprüfung: Aktiviert 

 Überprüfung der Systembereiche: Deaktiviert 

 Überprüfung der Dienste: Aktiviert 

 Überprüfung der Festplatten: Deaktiviert 

 Überprüfung aller Festplatten :Aktiviert 

 

Batchstart: 16:29:34,26 

Batchende: 16:29:36,56

Na das sieht doch schon mal ganz gut aus :)

Mach nun noch folgendes:

Öffne die Registrierung:

Zitat:

Start -> Ausführen -> eintippen: regedit [ENTER]

Suche nun diesen Schlüssel:

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C63396BE-26C7-4CD6-9B18-0D71787DDDC0}\InprocServer32]
@="C:\\WINDOWS\\system32\\awtqp.dll

und lösche diesen, danach sollte auch Ad-Aware nichts mehr finden.
Der eScan war auch negativ, demnach sollte Virtumonde von deinem System vollständig entfernt sein. :daumenhoc

Gruß
Sunny

Das ist ja schon mal super, wenn der Virus weg ist!
Den Schlüssel hab ich gefunden, es sind aber insgesamt 2 Schlüssel im Ordner "InprocServer32":

Name: (Standard)
Typ: REG_SZ
Wert: C:\WINDOWS\system32\awtqp.dll

Name: ThreadingModel
Typ: REG_SZ
Wert: Both

Soll der ganze Ordner (InprocServer32) gelöscht werden ODER nur die beiden Schlüssel ODER nur der obere Schlüssel?

Zitat:

Zitat von phantomvirus (Beitrag 293255)

Soll der ganze Ordner (InprocServer32) gelöscht werden ODER nur die beiden Schlüssel ODER nur der obere Schlüssel?

Lösch mal bitte nur den ersten Schlüssel, also den mit der Dateiangabe! ;)

Scanne danach nochmal mit Ad-Aware und berichte ob noch was zu beanstanden ist.

Sunny

Sorry, bin erst jetzt dazu gekommen, einen Scan durchzuführen. Also beim Smart Scan mit Ad-Aware wird erfreulicherweise nichts mehr gefunden, beim Full System Scan hängt sich das Programm irgendwann auf (scannt endlos in einem Ordner, verbraucht Systemressourcen, aber es passiert nichts). Glaube aber nicht, dass das mit dem Virus zusammenhängt.