|
Vundo-infiziert, bitte um Hilfe (HJT und Vundofix-Logs angefügt) Hallo, ich habe auf meiner Maschine eine Vundo-Infektion. Läuft sehr langsam bis gar nicht... Antivirus ist avast, firewall ist Zonelab, ich bin den Foren gefolgt und liess Vundofix und HJT laufen - letzteres geht NUR im abgesicherten Modus. Hier der log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:25:46, on 13/01/2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Safe mode Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Documents and Settings\Järjestelmänvalvoja.JPA\Työpöytä\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/defaults/sp/*http://www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\osspq.dll/sp.html#10001%resultposition.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\osspq.dll/sp.html#10001%resultposition.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\osspq.dll/sp.html#10001%resultposition.net R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\osspq.dll/sp.html#10001%resultposition.net R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.wall.*******.com:80 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll F3 - REG:win.ini: load=C:\WINNT\system32\fccda.exe O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {575B7AF7-9031-442D-2E74-50DCA1A5424D} - (no file) O2 - BHO: (no name) - {5B9C0FE7-FD04-DD47-9E3C-EC2CF3DBF050} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: (no name) - {9111B314-3564-44A2-B462-83E0F3A84613} - (no file) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O2 - BHO: (no name) - {DA63EEA0-A520-1DF9-AE8D-6D1C3BB31BEB} - (no file) O2 - BHO: (no name) - {FC1B64D9-3499-4791-82D5-AABAC3FAEA45} - C:\WINNT\system32\ddcaxut.dll O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\RunOnce: [VundoFix] "C:\Documents and Settings\Järjestelmänvalvoja.JPA\Työpöytä\vundofix.exe" O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: Yahoo! Go - http://download2.games.yahoo.com/games/clients/y/gt2_x.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab O16 - DPF: {F09BFD07-20B5-46D8-A6D5-BE4EF22F1F4D} (DGTx.uc1) - http://members.driverguide.com/director/dispatch_getfile.php?mode=toolkit_lite O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = *****.local O20 - Winlogon Notify: winkke32 - winkke32.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\System32\GEARSec.exe O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINNT\SYSTEM32\VundoFixSVC.exe -- End of file - 5658 bytes VundoFix habe ich heruntergeladen, es findet 5 Files, von denen es aber (auch nach Reboot/auch im SafeMode) nur 4 löschen kann. Diese tauchen aber nach einiger Zeit wieder auf, als wäre nichts gewesen: VundoFix V6.7.7 Checking Java version... Java version is 1.5.0.8 Old versions of java are exploitable and should be removed. Scan started at 09:32:16 14/01/2008 Listing files found while scanning.... C:\WINNT\system32\adccf.ini C:\WINNT\system32\adccf.ini2 C:\WINNT\system32\ddcaxut.dll C:\WINNT\system32\fccda.dll C:\WINNT\system32\fccda.exe Beginning removal... Attempting to delete C:\WINNT\system32\adccf.ini C:\WINNT\system32\adccf.ini Has been deleted! Attempting to delete C:\WINNT\system32\adccf.ini2 C:\WINNT\system32\adccf.ini2 Has been deleted! Attempting to delete C:\WINNT\system32\ddcaxut.dll C:\WINNT\system32\ddcaxut.dll Could not be deleted. Attempting to delete C:\WINNT\system32\fccda.dll C:\WINNT\system32\fccda.dll Has been deleted! Attempting to delete C:\WINNT\system32\fccda.exe C:\WINNT\system32\fccda.exe Has been deleted! Performing Repairs to the registry. Done! Beginning removal... Attempting to delete C:\WINNT\system32\ddcaxut.dll C:\WINNT\system32\ddcaxut.dll Could not be deleted. Performing Repairs to the registry. Done! Ich würde mich sehr über jegliche Hilfe freuen (habe das System übrigens mit CCleaner gereinigt und bin auch sonst "vorsichtig", oder eben nicht genug...) Danke:o |
Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen. * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!) Dann sehen wir weiter. |
Hallo und danke, dass Du Dich meinem Problem angenommen hast. Hier sind die beiden einzigen Dateien, die ich finden konnte (manuell nachschauen/Dateisuche... und versteckte Dateien anzeigen!), die sind also jedenfalls auf meiner Maschine, in WINNT/system32/: Datei fccda.dll empfangen 2008.01.14 11:25:42 (CET) Ergebnis: 10/32 (31.25%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.14.10 2008.01.14 - AntiVir 7.6.0.46 2008.01.14 - Authentium 4.93.8 2008.01.13 - Avast 4.7.1098.0 2008.01.14 Win32:TratBHO AVG 7.5.0.516 2008.01.13 Generic9.AONI BitDefender 7.2 2008.01.14 Trojan.Vundo.DVD CAT-QuickHeal 9.00 2008.01.12 - ClamAV 0.91.2 2008.01.13 - DrWeb 4.44.0.09170 2008.01.14 - eSafe 7.0.15.0 2008.01.13 - eTrust-Vet 31.3.5456 2008.01.14 - Ewido 4.0 2008.01.13 - FileAdvisor 1 2008.01.14 - Fortinet 3.14.0.0 2008.01.14 - F-Prot 4.4.2.54 2008.01.13 W32/Virtumonde.G.gen!Eldorado F-Secure 6.70.13030.0 2008.01.14 - Ikarus T3.1.1.20 2008.01.14 - Kaspersky 7.0.0.125 2008.01.14 - McAfee 5205 2008.01.11 - Microsoft 1.3109 2008.01.14 Trojan:Win32/Vundo.gen!A NOD32v2 2788 2008.01.13 - Norman 5.80.02 2008.01.11 Vundo.AL Panda 9.0.0.4 2008.01.13 - Prevx1 V2 2008.01.14 Trojan.Vundo Rising 20.27.02.00 2008.01.14 - Sophos 4.24.0 2008.01.14 W32/VirtInf-B Sunbelt 2.2.907.0 2008.01.12 - Symantec 10 2008.01.14 Trojan.Vundo TheHacker 6.2.9.187 2008.01.13 - VBA32 3.12.2.5 2008.01.13 - VirusBuster 4.3.26:9 2008.01.13 Adware.Vundo.V.Gen Webwasher-Gateway 6.6.2 2008.01.14 - weitere Informationen File size: 333824 bytes MD5: cb2156a7d20038bba09ee2e934f640e6 SHA1: dc8fa65c90773538d8e720e5396f899da2e043e7 PEiD: - Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7C1A50C400443DAE187305924B0F1900285A1364 Datei ddcaxut.dll empfangen 2008.01.14 11:34:32 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 11/32 (34.38%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.14.10 2008.01.14 - AntiVir 7.6.0.46 2008.01.14 TR/Vundo.dvo.10 Authentium 4.93.8 2008.01.13 - Avast 4.7.1098.0 2008.01.14 - AVG 7.5.0.516 2008.01.13 - BitDefender 7.2 2008.01.14 Trojan.Vundo.DVO CAT-QuickHeal 9.00 2008.01.12 - ClamAV 0.91.2 2008.01.13 - DrWeb 4.44.0.09170 2008.01.14 - eSafe 7.0.15.0 2008.01.13 - eTrust-Vet 31.3.5456 2008.01.14 - Ewido 4.0 2008.01.13 - FileAdvisor 1 2008.01.14 - Fortinet 3.14.0.0 2008.01.14 - F-Prot 4.4.2.54 2008.01.13 W32/Virtumonde.G.gen!Eldorado F-Secure 6.70.13030.0 2008.01.14 - Ikarus T3.1.1.20 2008.01.14 Trojan.Vundo.DVO Kaspersky 7.0.0.125 2008.01.14 not-a-virus:AdWare.Win32.Virtumonde.dmu McAfee 5205 2008.01.11 - Microsoft 1.3109 2008.01.14 Trojan:Win32/Vundo.gen!A NOD32v2 2788 2008.01.13 - Norman 5.80.02 2008.01.11 - Panda 9.0.0.4 2008.01.13 - Prevx1 V2 2008.01.14 Trojan.Vundo Rising 20.27.02.00 2008.01.14 - Sophos 4.24.0 2008.01.14 Troj/Virtum-Gen Sunbelt 2.2.907.0 2008.01.12 - Symantec 10 2008.01.14 Trojan.Vundo TheHacker 6.2.9.187 2008.01.13 - VBA32 3.12.2.5 2008.01.13 - VirusBuster 4.3.26:9 2008.01.13 Adware.Vundo.V.Gen Webwasher-Gateway 6.6.2 2008.01.14 Trojan.Vundo.dvo.10 weitere Informationen File size: 39424 bytes MD5: 95cf0f643bc29e275d8422a7feef9b36 SHA1: 125c7191611e5a67a1d0803f6e7f106ef167ce93 PEiD: - Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=C3864973004B8AA09AAA0046E4265F0095813B80 Mein Antivirenprogramm hat sie auch erkannt, kann sie aber weder löschen/bei startup löschen/ umbenennen/in die Schatzkammer bringen :), denn dann erscheint eine offensichtlich Virusgenerierte Fehlermeldung. Hab es auch im abgesicherten Modus probiert, aber dann beendet er auch LSASS.EXE und schaltet den Computer mit 60sec-Countdown aus... |
die winkke32.dll hast Du also nicht gefunden? Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Boote im abgesicherten Modus -Starte es dann und lass das System Reinigen. (Option 2) http://www.castlecops.com/zx/sjpritch25/Fix01b.jpg -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt http://siri.geekstogo.com/ChangeLog.php Combofix - Download ComboFix von hier oder hier auf Deinen Desktop. - Mache einen Doppelklick auf combofix.exe - Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board