|
Trojaner Vusurewi.dll & Tirowefa.dll Hallo Ihr Lieben, da ich nach ausgiebigem googlen keine Lösung gefunden habe, wende ich mich nun hoffnungsvoll an Euch. Ich hab mir irgendwie Trojaner eingefangen Namens tirowefa und vusurewi die sich beim Hochfahren von Windows XP sp2 regelmäßig, also jedes Mal, zu Wort. Habe diese zwei auch im folgenden hijackthis Logfile gefunden, trau mich aber nicht wirklich, diese jetzt zu fixen ohne den Blick eines Kenners. Und vielleicht entdeckt Ihr auch noch was anderes. Ach ja. Ich hab schon diverse empfohlene Programme danach suche lassen und es hat nicht geklappt...also Ihr seid meine letzte Hoffnung! LG Maikl Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp Dann bitte noch mal ein neues HJ-Log... chris Ps.: (Für mich, falls MAM es nicht schaffen sollte...) O20 - AppInit_DLLs: C:\WINDOWS\system32\togehupe.dll O4 - HKLM\..\Run: [ginewijije] Rundll32.exe "C:\WINDOWS\system32\tirowefa.dll",s O4 - HKLM\..\Run: [40c2dd49] rundll32.exe "C:\WINDOWS\system32\vusurewi.dll",b |
Hallo Chris, also, ich habe MAM drüberlaufen lassen und es hat auch einiges gefunden, allerdings hat es sich beim löschen aufgehängt aus irgendeinem grund. Bericht finde ich jetzt leider nicht. Allerding hat er unter Quarantäne einige Dateien eingelagtert, was ich allerdings nicht weiß ist, wie ich dir diese sichbar machen kann. Beim neustart gerade eben haben sich meine 2 "Lieblinge" schon wieder zu Wort gemeldet. Folgend nochmal das aktuelle HiJack File Was nun? LG Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\togehupe.dll
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Registry values to replace with dummy: 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O20 - AppInit_DLLs: C:\WINDOWS\system32\togehupe.dllGmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein. RSIT: Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Chris |
Hallo Chriss, ein kurzer Zwischenstand...diese scannerei dauert ja ewig :balla: Also das hochladen virtustotal hat nicht geklappt....es kam imme was von 0 bytes. die datei togehupe.dll habe ich auch nicht mehr gefunden. Dann habe ich avanger ausgeführt. folgend das log: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Code: dann nochmal die dateien hijackthis gefixed, wobei ich die zeile gmer ist jetzt schon seit gut 20 min am scanne, fragen kamen allerdings bis jetzt noch keine. ach ja ... bei den neustarts kam auch keine fehlermeldung mehr jetzt noch mal ein aktuelles hiJack file: Code: Logfile of Trend Micro HijackThis v2.0.2LG |
okay...die auswertung von gmer... sit zu lang zum posten :( dann die von rsit Teil 1 Code: info.txt logfile of random's system information tool 1.06 2009-05-26 19:42:58vielen dank! |
Teil 2 Code: Norton Save and Restore-->MsiExec.exe /X{B0255743-165B-4BD5-8DA8-37DFB993B201} |
ich hoffe wir hams jetzt!? sag bitte bescheid, obs jetzt passt! Vielen Dank chriss und einen einen schönen abend |
Hi, kennst Du das hier: O16 - DPF: {4788DE0A-3552-49EA-AC8C-233DA52523B9} (AxLoaderPassword Class) - http://www.blackberry.com/devicesoftware/AxLoader.cab Bitte noch Gmer und das C:\rsit\log.txt posten, und zwar so: Fileuplod: http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich... HJ sieht gut aus (bis auf das mir unbekannt AxLoader.cab), wobei die URL okay aussieht und es daher ungefährlich sein sollte... chris |
Hi, RSIT hat noch Sachen gefunden: C:\DOKUME~1\ALL.EX\LOKALE~1\Temp\inyafakj.sys und einen Reg.-Eintrag vom Wurm: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "notification packages"=scecli C:\WINDOWS\system32\togehupe.dll GMER bis auf die vielen Eingriffe in die SVCHOST und die Lsass unauffällig. Da ich nicht weis was der Treiber anstellt, bitte den bei Virustotal.com prüfen lassen und alles posten. C:\DOKUME~1\ALL.EX\LOKALE~1\Temp\inyafakj.sys Falls Du Ihn nicht finden kannst, dann bitte ComboFix: Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe chris |
Es scheint jetzt hab ich es doch geschafft. Hier das Combofix log...bin gespannt von dir zu hören! LG Code: ComboFix 09-05-26.05 - ALL.EX 27.05.2009 18:59.1 - NTFSx86 |
Hi, das sieht sauber aus, allerdings eine Frage: Wie alt ist Deine Security-Lösung von McAfee? Für den Scanner vor "AV engine before DAT 5600" existieren verschiedene Schwachstellen, die sich von Malware ausnutzen lassen (u. a. präparierte RAR-Archive)... Du solltest ev. mal über ein Update nachdenken... Die wininet.dll wurde geändert, bitte mal bei Virustotal.com prüfen lassen (c:\windows\system32\wininet.dll)... Ein Treiber taucht zweimal auf, daher ebenfalls über Virustotal.com prüfen: c:\windows\system32\drivers\PDNSp50.sys Der Debugger läuft im Hintergrund (muss aber nicht zwangsweise der Debugger sein), daher ebenfalls prüfen lassen: c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE Es sind noch Reg.-Einträge geändert, die das SecurityCenter und McAfee betreffen, da werden die Warnungen abgeschaltet, gewollt oder nicht?: Code: [HKEY_LOCAL_MACHINE\software\microsoft\security center]Die Suchmaschine Deines FireFox wurde von der Askbar umgebogen: Code: FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=Code: http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
Hallo Chriss, so, alle von dir genannten dateien habe ich hochgeladen und es wurde nichts gefunden. :) die werte der regedit sind wieder auf 1 gesetzt und nicht mehr auf null. ich hab das für den combofix scan alles deaktiviert. vielleicht lags daran. oder soll ich das wieder auf "0" stellen? nein, oder? suchmaschinen ding habe ich auch geändert. dumme ask-bar. vielen dank! mein mc affee ist glaub von 2007, wird doch aber ständig aktualisiert, oder ändert das nichts an der technik? soll ich ein komplett neues programm holen? was würdest du mir denn dann empfeheln. am besten eine komplette security suite. LG Soundster |
Hi, da haben wir uns gründlich Mißverstanden... Die Viren setzen die 1 "DisableMonitoring"=dword:00000001", richtig wäre die 0 (DisableMonitoring=Überwachungausschalten?) ja=1, nein =0, d.h. alle Werte sollten auf 0 stehen. Wenn die Sicherheitslösung upgedatet wird ist das Ok, dann sollten die Sicherheitslücken "gestopft" sein... Im neuen Ct ist ein Test über Sicherheitslösungen... chris |
Chirss, dann ändere ich das noch in der regedit! Ich danke dir vielmals das war echt super! ich werde mit die neue ct holen! LG Soundster P.s.: wie setzte ich dieses Thema auf abgeschlossen? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board