Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig (https://www.trojaner-board.de/55840-virtumonde-weg-vundo-iexplore-exe-ms-juan-regkey-hartnaeckig.html)

Psychobyte 12.07.2008 19:20
Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig
 
Hallo! Toll, dass es dieses Forum gibt!
Ich habe mir vor ein zwei Tage etwas eingefangen.
Mit der neusten Version von Spybot konnte ich Virtumonde finden und vernichten :kloppen:, ist seitdem nicht mehr aufgetaucht.
Dann habe ich noch mal Malwarebytes' laufen lassen, das hat noch so einiges vom Vundo-Trojaner aufgedeckt. Habe ich natürlich entfernen lassen, und dann war's auch weg (hab auch Vundofix mehrmals ohne Ergebnis laufen lassen). Beim letzten Scan gerade waren allerdings wieder ein paar Dateien dabei.

Was sich hartnäckig hält, ist das Problem mit dem iexplore.exe-Prozess, der nach Beendung immer wieder auftaucht, samt hin und wieder Werbepop-ups. Ebenso der Registry Key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan", der bei jedem Scan wieder da ist (nach Neustart jedenfalls, hab jetzt nicht im Kopf, ob ich auch mal zwei Mal ohne Neustart gescannt hab...).

Hab schon die anderen Threads zu dem Thema gelesen, aber ohne einen speziellen Tipp komm ich selbst nicht weiter.
Hier erst mal das Log meiner letzten Malwarebytes'-Aktion:
Code:
Malwarebytes' Anti-Malware 1.20
Datenbank Version: 941
Windows 5.1.2600 Service Pack 2

19:43:31 12.07.2008
mbam-log-7-12-2008 (19-43-31).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 140592
Scan Dauer: 49 minute(s), 13 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\jkkHXPGX.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\jkkIBUon.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{595D2CB6-6E96-420B-91FF-42CFD364B4D8}\RP135\A0046701.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{595D2CB6-6E96-420B-91FF-42CFD364B4D8}\RP135\A0046702.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
Und hier mein Hijackthis-Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:46:30, on 12.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\meinName\Internetprogramme\SpyBot1-6\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\udG7Dl7w.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\meinName\Internetprogramme\HijackThis\HjT2-0-2.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: {e4b4f41e-4616-0f9b-1d94-75077a9390f1} - {1f0939a7-7057-49d1-b9f0-6164e14f4b4e} - C:\WINDOWS\system32\npfirj.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\meinName\INTERN~1\SPYBOT~2\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\meinName\Internetprogramme\SpyBot1-6\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [MSServer] rundll32.exe C:\DOKUME~1\LOCALS~1\LOKALE~1\Temp\jkkHXPGX.dll,#1 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\andreas\INTERN~1\SPYBOT~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\meinName\INTERN~1\SPYBOT~2\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4607 bytes
Ihr könnt mir bestimmt helfen. :)

PS: Einfach eine Systemwiederherstellung ist wahrscheinlich kein Mittel gegen sowas...?

Vany_Vany 12.07.2008 19:44
hey, ich hatte vor ein paar wochen das selbe problem:

http://************************/dboard/showthread.php?tid=460

hoffe das hilft :)

Psychobyte 12.07.2008 19:55
Danke, aber hattest du auch immer diesen iexplore-Prozess im Taskmanager? Wenn man hier um Hilfe fragt, soll man ja erstmal abwarten, was die Experten sagen, sonst gibt's nur Verwirrung, wenn man zwischendurch was macht.

Was ich noch vergessen hatte: manchmal spielt er auch Audiodateien im Hintergrund. Einmal ne Werbung und gerade einfach nur ein längeres Geräusch...?

Psychobyte 12.07.2008 22:02
(Liegt das nur an der Zeit oder warum find ich den edit-Button nicht mehr...? sorry)

Ich hab grad nochmal gescannt, ohne Neustart zwischendurch, der RegKey war trotzdem schon wieder da.

Silent sharK 12.07.2008 22:24
Hallo Psychobyte,

Erstmal folgendes: Virtumonde ist ein Trivialname für Vundo, das mit dem Audiogeräusch ist mit Sicherheit ein Popup, den du blockst, nur die Audiogeräusche halt nicht.

Prüfe mal folgende Dateien bei VirusTotal - Free Online Virus and Malware Scan :
Zitat:
C:\WINDOWS\system32\udG7Dl7w.exe
Zitat:
C:\WINDOWS\system32\npfirj.dll
Ansonsten würde ich warten, bis hier ein User aus dem Kompetenzteam postet, um dir ein evtl. entsprechenden Bereinigungsweg vorschlägt.

mfg

Psychobyte 13.07.2008 09:32
Hier das Ergebnis der ersten Datei:
Code:
Datei udG7Dl7w.exe empfangen 2008.07.13 10:19:14 (CET)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.7.11.0        2008.07.11        -
AntiVir        7.8.0.64        2008.07.11        TR/Crypt.ULPM.Gen
Authentium        5.1.0.4        2008.07.13        -
Avast        4.8.1195.0        2008.07.13        Win32:Trojan-gen {Other}
AVG        7.5.0.516        2008.07.12        Generic10.BBXO
BitDefender        7.2        2008.07.13        -
CAT-QuickHeal        9.50        2008.07.11        -
ClamAV        0.93.1        2008.07.13        -
DrWeb        4.44.0.09170        2008.07.12        -
eSafe        7.0.17.0        2008.07.10        Suspicious File
eTrust-Vet        31.6.5949        2008.07.12        -
Ewido        4.0        2008.07.12        -
F-Prot        4.4.4.56        2008.07.13        -
F-Secure        7.60.13501.0        2008.07.12        -
Fortinet        3.14.0.0        2008.07.13        -
GData        2.0.7306.1023        2008.07.13        Trojan-Downloader.Win32.Agent.vyy
Ikarus        T3.1.1.26.0        2008.07.13        Trojan.Crypt.ULPM
Kaspersky        7.0.0.125        2008.07.13        Trojan-Downloader.Win32.Agent.vyy
McAfee        5337        2008.07.11        -
Microsoft        1.3704        2008.07.13        -
NOD32v2        3263        2008.07.11        probably unknown NewHeur_PE virus
Norman        5.80.02        2008.07.11        -
Panda        9.0.0.4        2008.07.12        Suspicious file
Prevx1        V2        2008.07.13        Malicious Software
Rising        20.52.61.00        2008.07.13        -
Sophos        4.31.0        2008.07.13        Mal/HckPk-A
Sunbelt        3.1.1536.1        2008.07.12        -
Symantec        10        2008.07.13        -
TheHacker        6.2.96.378        2008.07.13        -
TrendMicro        8.700.0.1004        2008.07.11        PAK_Generic.001
VBA32        3.12.6.9        2008.07.12        -
VirusBuster        4.5.11.0        2008.07.12        -
Webwasher-Gateway        6.6.2        2008.07.11        Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 35842 bytes
MD5...: 864f0d4577cd999eaba97ecdb9eaf10e
SHA1..: 60fd8207303048309ad5ada2cf3a9f823cc07c82
SHA256: ec9e2589d4b6c58c600a61a2d0948db2e59108ad1a1f9399da811c72c7a8f80e
SHA512: 03c265e9434a77f06e3b5e34935a5ef63c7df466cc9db1d24cd9fed53fa17330<br>d48100ad66f7500f06ba8586c6455433bac8a3ef072e9fda49d9b144bca8e9b6
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4141f9<br>timedatestamp.....: 0x4877a369 (Fri Jul 11 18:16:09 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>UPX1 0xc000 0x9000 0x8400 7.98 2b99c4cb98f3455ab2349ca9fa649b29<br>UPX2 0x15000 0x1000 0x400 2.73 af8114c7acc7de4abf32e98010e97503<br><br>( 9 imports ) <br>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<br>&gt; ADVAPI32.dll: RegCloseKey<br>&gt; NETAPI32.dll: NetScheduleJobAdd<br>&gt; ole32.dll: CoInitialize<br>&gt; OLEAUT32.dll: -<br>&gt; SHELL32.dll: StrChrA<br>&gt; SHLWAPI.dll: StrDupA<br>&gt; USER32.dll: wsprintfA<br>&gt; WININET.dll: InternetOpenA<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=ED1D8D4E02FBC4108CC3006981F6B20011108E66

Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.7.11.0        2008.07.11        -
AntiVir        7.8.0.64        2008.07.11        TR/Crypt.ULPM.Gen
Authentium        5.1.0.4        2008.07.13        -
Avast        4.8.1195.0        2008.07.13        Win32:Trojan-gen {Other}
AVG        7.5.0.516        2008.07.12        Generic10.BBXO
BitDefender        7.2        2008.07.13        -
CAT-QuickHeal        9.50        2008.07.11        -
ClamAV        0.93.1        2008.07.13        -
DrWeb        4.44.0.09170        2008.07.12        -
eSafe        7.0.17.0        2008.07.10        Suspicious File
eTrust-Vet        31.6.5949        2008.07.12        -
Ewido        4.0        2008.07.12        -
F-Prot        4.4.4.56        2008.07.13        -
F-Secure        7.60.13501.0        2008.07.12        -
Fortinet        3.14.0.0        2008.07.13        -
GData        2.0.7306.1023        2008.07.13        Trojan-Downloader.Win32.Agent.vyy
Ikarus        T3.1.1.26.0        2008.07.13        Trojan.Crypt.ULPM
Kaspersky        7.0.0.125        2008.07.13        Trojan-Downloader.Win32.Agent.vyy
McAfee        5337        2008.07.11        -
Microsoft        1.3704        2008.07.13        -
NOD32v2        3263        2008.07.11        probably unknown NewHeur_PE virus
Norman        5.80.02        2008.07.11        -
Panda        9.0.0.4        2008.07.12        Suspicious file
Prevx1        V2        2008.07.13        Malicious Software
Rising        20.52.61.00        2008.07.13        -
Sophos        4.31.0        2008.07.13        Mal/HckPk-A
Sunbelt        3.1.1536.1        2008.07.12        -
Symantec        10        2008.07.13        -
TheHacker        6.2.96.378        2008.07.13        -
TrendMicro        8.700.0.1004        2008.07.11        PAK_Generic.001
VBA32        3.12.6.9        2008.07.12        -
VirusBuster        4.5.11.0        2008.07.12        -
Webwasher-Gateway        6.6.2        2008.07.11        Trojan.Crypt.ULPM.Gen

weitere Informationen
File size: 35842 bytes
MD5...: 864f0d4577cd999eaba97ecdb9eaf10e
SHA1..: 60fd8207303048309ad5ada2cf3a9f823cc07c82
SHA256: ec9e2589d4b6c58c600a61a2d0948db2e59108ad1a1f9399da811c72c7a8f80e
SHA512: 03c265e9434a77f06e3b5e34935a5ef63c7df466cc9db1d24cd9fed53fa17330<br>d48100ad66f7500f06ba8586c6455433bac8a3ef072e9fda49d9b144bca8e9b6
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4141f9<br>timedatestamp.....: 0x4877a369 (Fri Jul 11 18:16:09 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name        viradd    virsiz  rawdsiz  ntrpy  md5<br>UPX0        0x1000    0xb000      0x0  0.00  d41d8cd98f00b204e9800998ecf8427e<br>UPX1        0xc000    0x9000    0x8400  7.98  2b99c4cb98f3455ab2349ca9fa649b29<br>UPX2      0x15000    0x1000    0x400  2.73  af8114c7acc7de4abf32e98010e97503<br><br>( 9 imports )  <br>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<br>&gt; ADVAPI32.dll: RegCloseKey<br>&gt; NETAPI32.dll: NetScheduleJobAdd<br>&gt; ole32.dll: CoInitialize<br>&gt; OLEAUT32.dll: -<br>&gt; SHELL32.dll: StrChrA<br>&gt; SHLWAPI.dll: StrDupA<br>&gt; USER32.dll: wsprintfA<br>&gt; WININET.dll: InternetOpenA<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=ED1D8D4E02FBC4108CC3006981F6B20011108E66
Und Nummer zwei:
Code:
Datei npfirj.dll empfangen 2008.07.13 10:30:13 (CET)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.7.11.0        2008.07.11        -
AntiVir        7.8.0.64        2008.07.11        TR/Crypt.XPACK.Gen
Authentium        5.1.0.4        2008.07.13        -
Avast        4.8.1195.0        2008.07.13        Win32:Trojan-gen {Other}
AVG        7.5.0.516        2008.07.12        Vundo.U
BitDefender        7.2        2008.07.13        Trojan.Vundo.EWS
CAT-QuickHeal        9.50        2008.07.11        -
ClamAV        0.93.1        2008.07.13        -
DrWeb        4.44.0.09170        2008.07.12        -
eSafe        7.0.17.0        2008.07.10        Suspicious File
eTrust-Vet        31.6.5949        2008.07.12        -
Ewido        4.0        2008.07.12        -
F-Prot        4.4.4.56        2008.07.13        W32/Virtumonde.AB.gen!Eldorado
F-Secure        7.60.13501.0        2008.07.12        -
Fortinet        3.14.0.0        2008.07.13        W32/Monderc!tr
GData        2.0.7306.1023        2008.07.13        Trojan.Win32.Monderc.gen
Ikarus        T3.1.1.26.0        2008.07.13        Virus.Trojan.Win32.Monderc
Kaspersky        7.0.0.125        2008.07.13        Trojan.Win32.Monderc.gen
McAfee        5337        2008.07.11        -
Microsoft        1.3704        2008.07.13        Trojan:Win32/Vundo.gen!R
NOD32v2        3263        2008.07.11        -
Norman        5.80.02        2008.07.11        Vundo.gen192
Panda        9.0.0.4        2008.07.12        -
Prevx1        V2        2008.07.13        Cloaked Malware
Rising        20.52.61.00        2008.07.13        -
Sophos        4.31.0        2008.07.13        Mal/Generic-A
Sunbelt        3.1.1536.1        2008.07.12        -
Symantec        10        2008.07.13        -
TheHacker        6.2.96.378        2008.07.13        -
TrendMicro        8.700.0.1004        2008.07.11        -
VBA32        3.12.6.9        2008.07.12        -
VirusBuster        4.5.11.0        2008.07.12        -
Webwasher-Gateway        6.6.2        2008.07.11        Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 103424 bytes
MD5...: 567ceb199ac8059c434f556731100189
SHA1..: f2650b46a3f8b85557d9d7f657496d7a76fbb875
SHA256: ee55b4261f078e3b6f2485beda9dac6907ba349384ced2324465c86c2382017d
SHA512: 6a465ee6ec8ab02f92a5ef7620bdad23cd8a888d738181a39c98b710b8ad57f6<br>0176f093b5992fb6dc48b06e4fc03df376132b361dd66a102b095b3fc4ac24e7
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100358ff<br>timedatestamp.....: 0x8075c346L (invalid)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.data 0x1000 0x34000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.text 0x35000 0x1077 0x1200 6.10 f3ec8e22c3678eae1fa78845da7f37bb<br>.rdata 0x37000 0x18000 0x17400 8.00 82e2e521af6bbd935c13fb302f8e1bdc<br>.idata 0x4f000 0x1000 0x600 3.88 b780b4d05514c5e2527148496316b702<br>.reloc 0x50000 0x1000 0x400 0.82 160039d78ed8a0cf9e2fc0d3cc6bc8a8<br><br>( 4 imports ) <br>&gt; kernel32.dll: HeapCreate, PulseEvent, HeapUnlock, GetEnvironmentVariableW, GetProcessHeaps, ExpandEnvironmentStringsA, CompareStringW, ReleaseMutex, InterlockedExchangeAdd, lstrlen, GetModuleHandleA<br>&gt; gdi32.dll: Polyline, CreateBitmap, GdiConvertBrush, CreateEllipticRgnIndirect, CreateRoundRectRgn, EnumFontsA, RestoreDC<br>&gt; comdlg32.dll: WantArrows, FindTextA, PrintDlgExA, ChooseColorA, GetSaveFileNameA, dwLBSubclass, LoadAlterBitmap, GetFileTitleA, CommDlgExtendedError, ReplaceTextA, Ssync_ANSI_UNICODE_Struct_For_WOW, PageSetupDlgA, ChooseFontA, PrintDlgA<br>&gt; shell32.dll: StrStrA, ExtractIconEx, CommandLineToArgvW, StrCmpNW, DragQueryPoint, StrNCmpIW, StrCmpNIA, StrStrIW, StrCmpNA, StrStrW, SHChangeNotify, StrChrIA, ExtractIconA, InternalExtractIconListA<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8AEFB44F00329F1B94ED013B3C2E07001874F159

Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.7.11.0        2008.07.11        -
AntiVir        7.8.0.64        2008.07.11        TR/Crypt.XPACK.Gen
Authentium        5.1.0.4        2008.07.13        -
Avast        4.8.1195.0        2008.07.13        Win32:Trojan-gen {Other}
AVG        7.5.0.516        2008.07.12        Vundo.U
BitDefender        7.2        2008.07.13        Trojan.Vundo.EWS
CAT-QuickHeal        9.50        2008.07.11        -
ClamAV        0.93.1        2008.07.13        -
DrWeb        4.44.0.09170        2008.07.12        -
eSafe        7.0.17.0        2008.07.10        Suspicious File
eTrust-Vet        31.6.5949        2008.07.12        -
Ewido        4.0        2008.07.12        -
F-Prot        4.4.4.56        2008.07.13        W32/Virtumonde.AB.gen!Eldorado
F-Secure        7.60.13501.0        2008.07.12        -
Fortinet        3.14.0.0        2008.07.13        W32/Monderc!tr
GData        2.0.7306.1023        2008.07.13        Trojan.Win32.Monderc.gen
Ikarus        T3.1.1.26.0        2008.07.13        Virus.Trojan.Win32.Monderc
Kaspersky        7.0.0.125        2008.07.13        Trojan.Win32.Monderc.gen
McAfee        5337        2008.07.11        -
Microsoft        1.3704        2008.07.13        Trojan:Win32/Vundo.gen!R
NOD32v2        3263        2008.07.11        -
Norman        5.80.02        2008.07.11        Vundo.gen192
Panda        9.0.0.4        2008.07.12        -
Prevx1        V2        2008.07.13        Cloaked Malware
Rising        20.52.61.00        2008.07.13        -
Sophos        4.31.0        2008.07.13        Mal/Generic-A
Sunbelt        3.1.1536.1        2008.07.12        -
Symantec        10        2008.07.13        -
TheHacker        6.2.96.378        2008.07.13        -
TrendMicro        8.700.0.1004        2008.07.11        -
VBA32        3.12.6.9        2008.07.12        -
VirusBuster        4.5.11.0        2008.07.12        -
Webwasher-Gateway        6.6.2        2008.07.11        Trojan.Crypt.XPACK.Gen

weitere Informationen
File size: 103424 bytes
MD5...: 567ceb199ac8059c434f556731100189
SHA1..: f2650b46a3f8b85557d9d7f657496d7a76fbb875
SHA256: ee55b4261f078e3b6f2485beda9dac6907ba349384ced2324465c86c2382017d
SHA512: 6a465ee6ec8ab02f92a5ef7620bdad23cd8a888d738181a39c98b710b8ad57f6<br>0176f093b5992fb6dc48b06e4fc03df376132b361dd66a102b095b3fc4ac24e7
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100358ff<br>timedatestamp.....: 0x8075c346L (invalid)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name        viradd    virsiz  rawdsiz  ntrpy  md5<br>.data      0x1000  0x34000      0x0  0.00  d41d8cd98f00b204e9800998ecf8427e<br>.text      0x35000    0x1077    0x1200  6.10  f3ec8e22c3678eae1fa78845da7f37bb<br>.rdata    0x37000  0x18000  0x17400  8.00  82e2e521af6bbd935c13fb302f8e1bdc<br>.idata    0x4f000    0x1000    0x600  3.88  b780b4d05514c5e2527148496316b702<br>.reloc    0x50000    0x1000    0x400  0.82  160039d78ed8a0cf9e2fc0d3cc6bc8a8<br><br>( 4 imports )  <br>&gt; kernel32.dll: HeapCreate, PulseEvent, HeapUnlock, GetEnvironmentVariableW, GetProcessHeaps, ExpandEnvironmentStringsA, CompareStringW, ReleaseMutex, InterlockedExchangeAdd, lstrlen, GetModuleHandleA<br>&gt; gdi32.dll: Polyline, CreateBitmap, GdiConvertBrush, CreateEllipticRgnIndirect, CreateRoundRectRgn, EnumFontsA, RestoreDC<br>&gt; comdlg32.dll: WantArrows, FindTextA, PrintDlgExA, ChooseColorA, GetSaveFileNameA, dwLBSubclass, LoadAlterBitmap, GetFileTitleA, CommDlgExtendedError, ReplaceTextA, Ssync_ANSI_UNICODE_Struct_For_WOW, PageSetupDlgA, ChooseFontA, PrintDlgA<br>&gt; shell32.dll: StrStrA, ExtractIconEx, CommandLineToArgvW, StrCmpNW, DragQueryPoint, StrNCmpIW, StrCmpNIA, StrStrIW, StrCmpNA, StrStrW, SHChangeNotify, StrChrIA, ExtractIconA, InternalExtractIconListA<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8AEFB44F00329F1B94ED013B3C2E07001874F159
Das waren ja schon mal Treffer, danke! -Warte auf weitere Anweisungen.

Silent sharK 13.07.2008 12:43
Also da es sich bei der ersten Datei um einen Trojan-Downloader handelt, wäre es natürlich sicherer ein Neuaufsetzen in Betracht zu ziehen, da ich in dem Fall eine Bereinigung sinnlos finde.

Psychobyte 14.07.2008 08:52
Sicherer wär das natürlich, aber angesichts der diversen GBs, die ich da erstmal sichern muss (ja, ich weiß, hätte man beizeiten machen können), wäre das meine letzte Option, vorerst zumindest.
Jetzt möcht ich erstmal wissen, wie ich diese Dateien und den MS Juan RegKey sauber runter bekomme. Vielleicht hab ich ja Glück und das war's. Ich hab schon die ganze Zeit den Stecker raus, nur um hier nachzuschauen, und den Taskmanager immer im Auge.
Hoffentlich meldet sich bald ein Kompetenzler.

Psychobyte 14.07.2008 14:19
update
 
Ich hab das jetzt mal beobachtet:
Ich habe zwei Prozesse, HlWMxCsb.exe und udG7DI7w.exe, die immer pünktlich zur vollen Stunde aufkreuzen (d.h., wenn ich sage, dass die volle Stunde ist, hehe). Der iexplore.exe taucht zwischendurch nicht mehr auf, Pop-ups hatte ich heute auch noch keine.

Psychobyte 17.07.2008 08:41
Kann ich noch mit einer Antwort rechnen? Ich will nicht undankbar klingen, weiß ja, dass hier noch etliche andere Problemfälle sind. Langfristig werd ich wohl das System neu aufsetzen, aber da die Datensicherung eine Weile dauern wird, wär es toll, wenn mich jemand anleitet, wie ich bis dahin das Gröbste runter bekomme...

Ich weise vorsorglich schon mal darauf hin, dass ich ab Freitag mittag einige Tage unterwegs bin. Also bitte nicht wundern, Tipps setze ich dann gleich um, sobald ich wieder da bin!


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131