iifgfgf.dll logo1_.exe rundl132.dll rundll16.exe vcmgcd32.dll zts2.exe

#1 Hallo,

da der Thread von Tobi-A ( http://board.protecus.de/t27917.htm ) leider geschlossen wurde, möchte ich hier einfach nochmal nachfragen ob jemand weiss, welcher Virus bzw welcher Trojaner diese genannten Ordner anlegt. Leider wurde das in Tobis Thread nicht abschließend geklärt.

Ich selbst war auch von diesem merkwürdigen Teil befallen aber komischerweise waren alle diese Namen die Namen von Ordnern, nicht etwa von Files.

Ordnernamen waren bei mir: iifgfgf.dll, logo1_.exe, rundl132.dll, rundll16.exe, vcmgcd32.dll, zts2.exe und eine 3 MB große Reg-Datei die der Virus vermutlich angelegt hat (Backup meiner Registry?) namens REGBK00.ZIP.

Meine Frage wäre: weiss evtl. jemand, welche Software diesen Virus oder was auch immer es ist ausgelöst haben könnte bzw. welches Programm den rechner infiziert haben könnte? Oder sind präparierte Webseiten dafür verantwortlich?

Ich konnte das leider nimmer verifizieren aber wäre mir wichtig das rauszubekommen und vor allem was für ein Virus das ist, damit man evtl. weiss ob der irgendwelche Schäden angerichtet hat, Passwörter ausspioniert hat usw.

Der Witz ist: weder mein normaler Virenscanner (NOD32) noch irgendwelche Onlinescanner die ich unmittelbar nach Bemerken (3 Std später) über meine Festplatte gejagt habe (Kaspersky, Bitdefender etc) haben angeschlagen, keinerlei Fehlermeldung, nix. Ich weiß nun nicht ob der Virus sich nach getaner Arbeit (Regdatei erstellen, Dateien senden?) evtl. selbst gelöscht hat und die Ordnernamen evtl. Überbleibsel des eigentlichen Virus sind....?

Grüße
Kellerkind

#2 Kellerkind

das wuerde ich mir gern ansehen

1.
Erstellen eines Hijackthis-Logfiles
http://virus-protect.org/hjtkurz.html

Lade/entpacke HijackThis in einem Ordner
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
---------------------------------------------------------------


2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html


4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

hab wenige Stunden nach dem Befall gleich ein komplettes Backup eines Festplatten-Images gemacht so dass ich mit den gewünschten Informationen leider nicht dienen kann. Ich kann nur soviel dazu sagen, dass eben kein einziger Virenscanner mit jeweils aktuellsten Virendefinitionen angeschlagen hat und alle oben genannten Ordner um die gleiche Uhrzeit erstellt worden sind. Weitere Files wurden meines Wissens nicht angelegt - ob irgendwelche zusätzlichen Registryeinträge o.ä. angelegt wurden weiß ich leider nicht. Außergewöhnliches Verhalten meines Rechners konnte ich auch nicht feststellen. Hab mir lediglich ein Backup der ganzen Angelegenheit gemacht, allerdings ist das nicht wirlich aussagekräftig da die Ordner leer sind. Einzig in der ZIP-Datei könnte man vielleicht was finden.

#4

Zitat

Hab mir lediglich ein Backup der ganzen Angelegenheit gemacht

schade, ich haette mir das gern angesehen
poste mal das backup - die Daten
__________
MfG Sabina

rund um die PC-Sicherheit

#5

Zitat

Sabina postete

Zitat

Hab mir lediglich ein Backup der ganzen Angelegenheit gemacht

schade, ich haette mir das gern angesehen
poste mal das backup - die Daten

ähm...das wird bisschen schwierig. Wie gesagt, das ist ne Datei namens REGBK00.ZIP, die dieser ominöse Virus angelegt hat, die hat auch Tobi auf seinem PC gehabt (oder hat sie auch noch) wie ich das gesehen habe. In dieser Datei sind wiederum 3 andere Reg-Dateien, die sind jeweils 11,4 MB, 24,1 MB und 12,4 MB groß, so dass es etwas schwierig wird, die hier zu posten. Dieses möglicherweise komplette Backup meiner Registrierung macht mir doch recht viel Angst. Die 3 Dateien heissen

hkcrRT.reg
hklmSW.reg
hklmSY.reg

und wurden exakt um die gleiche Uhrzeit wie die anderen Virendateien angelegt so dass dieses ZIP-File damit in Zusammenhang stehen muss.

Würde mir diese REG-Dateien gerne mal anschauen, aber ich vermute mal aufgrund der Größe und Masse an Einträgen werd ich da kaum den Durchblick haben, außerdem wüsste ich nicht mit welchem Programm ich diese Dateien gefahrlos öffnen kann denn der sichere Editor öffnet solche großen Files sicher nicht

Klasse wäre es halt, wenn irgendeiner der Geschädigten (im forum.antivir-pe.de gibts auch einen davon) den Ursprung bzw den Auslöser dieser mystischen Infektion finden könnte damit man weiss was das Teil anrichtet. Hab in diesem Forum auch mal gepostet, mal sehen ob dort jemand weiterhelfen kann, vielleicht auch Tobi hier, der den ja auch hatte.


EDIT:

so, habs jetzt mal versucht und die entsprechenden REG-Dateien haben sich tatsächlich mit dem Editor öffnen lassen. Ist scheinbar tatsächlich ein komplettes Backup meiner Registry, keine Ahnung ob es nun ein Backup der cleanen Registry ist oder ein verseuchtes.

Einige Stunden vor dem Virenbefall habe ich diverse Registry-Cleaner durchprobiert, das könnte zwar ne Erklärung dafür sein, allerdings muss das dann wohl ein virenverseuchter Registry-Cleaner gewesen sein... denn ne halbe Stunde vor und nach dem Virenbefall gab es keine anderweitigen Aktivitäten auf meinem Rechner und es wäre mehr als Zufall dass ein Registry-Cleaner ausgerechnet in der Minute ungefragt ein Backup anlegt, in der der Virus zuschlägt. ich befürchte da eher einen modifizierten Registry-Cleaner der sein Know-How für solche Zwecke missbraucht.

#6 ich habe 2 Seiten gefunden, wo ich das Thema behandelt habe, allerdings ist es noch sehr unvollstaendig

http://virus-protect.org/artikel/spyware/rundl132_dll.html
http://virus-protect.org/artikel/spyware/rundl132_exe_remove.html

die anscheined verseuchte software (Registry-Cleaner) - wuerde mich auch interessieren..............
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hmmm.... blöderweise hab ich voreilig das Backup wieder hergestellt nachdem kein Virenscanner angeschlagen hat (wie auch bei normalen Reg-Files und Ordnern ohne Dateien). Hab blöderweise gründlich gearbeitet und sogar mit BCWipe die ganze Festplatte gewiped so dass sich absolut nix mehr recovern ließ ... naja, was tut man nicht alles vor Schreck

Trotzdem muss ja irgendwas noch aufm Rechner gewesen sein was diese REG-Dateien erstellt hat, wenns das Registry-Programm selbst gewesen ist dann hätte ja irgendein Scanner anschlagen müssen. Hab die verdächtigen Downloads alle bei VirusTotal.com hochgeladen aber dort wurde nix gefunden, nur ein oder zwei Scanner meldeten schlugen mal an, aber vermutlich Fehlalarm, meldeten auch nur suspicious. Hab die entsprechenden dateien dann an Bitdefender, Kaspersky und AntiVir zur Überprüfung geschickt und die haben bei der Untersuchung nix gefunden, also wars vermutlich ne andere Datei oder ne Webseite.

Nur welchen Sinn hat er für einen Trojaner, solche verdächtigen Ordner anzulegen? Da wird man doch erst auf ne Infektion aufmerksam. Is das möglicherweise nen nicht sauber programmierter Trojaner gewesen? Der Virenscanner kanns jedenfalls nicht gewesen sein, der die Dateien geblockt hat, denn dann hätte ich ne Meldung bekommen.

Sehr merkwürdig alles.

Ich denke mal, Einzelheiten oder Näheres würde man wirklich erst erfahren, wenn mal einer, der befallen wurde, noch genau weiß was er zu dem zeitpunkt gestartet hatte.