|
Virtumonde nicht zu beseitigen Hallo Leute, ich habe mir auf meinem Laptop leider irgendwie Virtumonde eingefangen. Spybot kann mir da leider nicht weiterhelfen, nach jedem neustart ist der kram wieder da. Ich habe zwar passend dazu schon diesen beitrag gefunden: http://www.trojaner-board.de/23940-iwe-kann-man-virtumonde-entfernen.html Allerdings glaube ich es so verstanden zu haben, das er verschiedene Versionen gibt. Wenn ich da richtig liege, kann ich dann die dortige Anleitung trotzdem verwenden? Auch gibt es wohl leider nicht mehr die dort verlinkte Ewido Security Suite. Welches Produkt sollte stattdessen verwendet werden? Spybot spuckt mir beim Scannen zwei dlls aus, die wohl mit dem Virtumonde zusammenhängen. Diese haben die Namen "pbehdj.dll" sowie "rqfjjclt.dll" Anbei dennoch mein HJT Log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:22:54, on 29.08.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Program Files\Keyboard Manager\Manager Utility\KeyboardManager.exe C:\Windows\RtHDVCpl.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Program Files\G DATA AntiVirus\AVKTray\AVKTray.exe C:\Windows\System32\oodtray.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\System32\mobsync.exe C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: (no name) - {891D1E8A-9B13-4684-AB35-4FACB393FB0B} - (no file) O2 - BHO: (no name) - {9A0C3176-7B3B-44A3-90E4-572840354A0C} - C:\Windows\system32\urqRIaYq.dll O2 - BHO: {8be888a6-df7e-bb6b-c574-5e33510f276a} - {a672f015-33e5-475c-b6bb-e7fd6a888eb8} - C:\Windows\system32\rqnqds.dll O2 - BHO: (no name) - {C37F211E-5840-4E0E-8AF7-2F3592517238} - C:\Users\Wilson\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VL1E2V1Q\3077htsbdjyf[1].dll O2 - BHO: (no name) - {E1C7EDF7-6C3D-424E-B651-A2F57BBA9701} - (no file) O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe O4 - HKLM\..\Run: [Keyboard Manager Utility] "C:\Program Files\Keyboard Manager\Manager Utility\KeyboardManager.exe" /lang DE /H O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA AntiVirus\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\khfCssSk.dll,#1 O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Add to VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - C:\PROGRA~1\NUCLEA~1\VideoGet\Plugins\VIDEOG~1.DLL O9 - Extra 'Tools' menuitem: Add to &VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - C:\PROGRA~1\NUCLEA~1\VideoGet\Plugins\VIDEOG~1.DLL O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O13 - Gopher Prefix: O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Program Files\G DATA AntiVirus\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA AntiVirus\AVK\AVKWCtl.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe (file missing) Schonmal ein dickes Danke im Vorraus! Wilson |
Hallo Zitat:
1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code: C:\Windows\system32\urqRIaYq.dll3.) Führe dieses MBR-Tool aus und poste die Ausgabe Mit Combofix möchte ich noch abwarten. |
Virustotal.com LogFiles: Code: C:\Windows\system32\urqRIaYq.dll |
Blacklight Log Code: 08/30/08 19:41:10 [Info]: BlackLight Engine 1.0.70 initializedMalwarebytes' Log Code: Malwarebytes' Anti-Malware 1.25MBR-Tool Log: Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net |
Hi, kleiner Tip am Rande: Überprüfe bitte nochmal dein Post mit den Virustotalergebnissen. root24 wollte neben der Dateigröße und Prüfsummen auch die Ergebnisse der einzelnen Virenscanner sehen. ;) Schließlich interessiert uns auch mit welchen Viren die Dateien befallen sind. ;) Sag bitte auch welche Dateien du wieso nicht hast auswerten lassen. lg myrtille |
Hallo, also die zu erst nicht analysierte Datei wurde nicht analysiert, weil sie einfach nicht mehr vorhanden war. Ich weiß selbst nicht warum, aber sie war halt nicht mehr da. Und jetzt wollte ich sie alle nochmal analysieren lassen, um die restlichen Infos zu ergänzen, musste aber feststellen, dass bis auf die letzte Datei alle anderen auch nicht mehr vorhanden sind. Und die letzte gehört vom Namen her zu einem Programm, mit dem man bzw ich Videos von YouTube speichern oder in MP3 umwandeln kann. Also meiner Meinung nach keine große Bedrohung. Und ich glaube mich auch dran zu erinnern, dass bei dieser Datei nichts gefunden wurde. Dennoch die weiteren Daten zu dieser Datei: Code: Antivirus Version letzte aktualisierung Ergebnis |
Wagen wir einen Durchlauf mit Combofix: Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]Mach auch ein Filelisting mit diesem script:
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
hat bisschen gedauert, aber hier sind dann die beiden sachen die du noch haben wolltest allerdings ist das log con combofix ebenfalls zu groß fürs board. hab es also auch mal hochgeladen. hoffe das ist dir so recht: ComboFix.txt und der link zur listing.txt: listing.txt |
Hi, in den Logs ist mir auf die Schnelle nix Böses unter die Augen geraten. Wie siehts denn nun aus mit Deinem Vundo? ;) |
nabend, also ich glaube ich bin den Vundo los geworden. Zumindest bekomm ich keine Pop Ups mehr oder sonstiges. Alles so wie es sein soll! :Boogie: :dankeschoen: Echt vielen vielen Dank an dich bzw. an das ganze Board. Super Sache das! Ich kann gar nicht oft genug Danke sagen. Hab schon befürchtet den Rechner platt machen zu müssen, aber dass konntest du ja glücklicher weise abwenden! DANKE!!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board