Virtumonde und trojan-downloader-conhook auf meinem pc entdeckt
 

Hallo! Da ich nicht so die Ahung von Viren habe, würde ich gerne wissen wie ich diese zwei Viren wieder wegbekomm. Ich hab Antivir, Kaspersky, Spybot,Adaware und Vundofix bereits ohne Erfolg suchen lassen. Mit Spy Sweeper wurden die Dateien zwar entdeckt nur kann ich sie nicht löschen weil ich dafür keine Lizenz hab, ich mein ich würd sie mir, falls es keine andere Möglichkeit gibt, kaufen aber ich hoffe mal dass es auch ohne geht.
Hier mein Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 23:14:52, on 01.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\zHotkey.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\RefreshLock.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.at/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/23ea10ffae3267990f05/netzip/RdxIE601_de.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129372907609
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hi,
von Virtumonde sehe ich keinen Reg-Schlüssel und conhook scheint nicht aktiv zu sein.
Lade Dir mal Ewido Testversion runter und lasse im abgesicherten Modus laufen. Sollte von Virtumonde ein Schlüssel da sein, erkennt und entfernt ihn Ewido.
Melde Dich dann wieder mit den Ewido-Ergebnissen.
Wo genau (Pfadangabe) hat SpySweeper die Entdeckung gemacht?
cacatoa

Der Trojaner wurde in der Datei : C:\windows\system32\gebcd.dll gefunden
und virtumonde scheint einiges infiziert zu haben:
HKCR\atldistrib.atldistrib.1\
HKCR\atldistrib.atldistrib.1\clsid\
HKCR\atldistrib.atldistrib
HKCR\atldistrib.atldistrib\clsid\
HKCR\atldistrib.atldistrib\curver\
HKCR\clsid\{2353fcbc-012d-487b-8bf3-865c0929fbeb}\
HKLM\software\classes\atldistrib.atldistrib.1\
HKLM\software\classes\atldistrib.atldistrib.1\clsid\
HKLM\software\classes\atldistrib.atldistrib\
HKLM\software\classes\atldistrib.atldistrib\clsid\
HKLM\software\classes\atldistrib.atldistrib\curver\
HKLM\software\classes\clsid\{2353fcbc-012d-487b-8bf3-865c0929fbeb}\
HKLM\software\microsoft\windows\currentversion\explorer\browser\borwser helper objects\{2353fcbc-012d-487b-8bf3-865c0929fbeb}

@ die erfahrenen Helfer hier aus dem Forum:

Die Beschreibungen, die ich zu Virtumonde und ConHook gefunden habe, scheinen nicht so recht auf die Funde zu passen. Könnten das modifizierte Versionen sein?

@puppets:

Könntest Du diese

C:\windows\system32\gebcd.dll

Date bei jotti prüfen lassen?
Hinweise zum richtigen Suchen findest Du hier:

http://www.trojaner-board.de/59624-a...-sichtbar.html

Also ich hab jetzt ewido drüber laufen lassen und virtumonde entfernen können. Virtumonde war anscheinend der Trojaner, weil die infizierte Datei C:\windows\system32\gebcd.dll als virtumonde angezeigt wurde. Insgesamt sind gleich 185 infizierte Dateien gefunden worden und spy sweeper zeigt ebenfalls nichts mehr an (bis auf ein paar cookies, die als ungefährlich markiert sind). Vielen Dank für die Hilfe!

Hallo,
Fühl mich einfach mal angesprochen :D , obwohl ich mit conhook nicht so viel Erfahrung habe. Übrigens dachte ich bisher conhook und Virtumonde (und Vundo.b) wären das gleiche. Mir fehlt hier auch die typische O2-O20 Kombination, vielleicht hat Vundofix das meiste ja doch schon entfernt, und die übrige(n) Dateien sind nur die Reste?
Kommen eigentlich noch die typischen Popups (Winfixer etc.) oder wird er nur noch von den Viren/Spywarescannern angezeigt?

Edit
Ewido wäre mein nächster Rat gewesen, aber Ewido hat nur die Reste entfernt, die Hauptarbeit hat schon Vundofix geleistet.


Grüße Wildone

Genau so Leute wie Dich meinte ich ;)

Nun mit der Erfahrung ist es bei mir eh nicht weit her, ich hatte mir halt die genauen Beschreibungen bei Sophos und Symantec angeschaut. Und bei beiden Quellen wollte die Informationen nicht zu dem Gefundenen passen. Dass möglicherweise einige Einträge bereits gefixed wurden hatte ich - mea culpa - völlig ausser Acht gelassen.