Virtumonde (?) unter WinXP nicht "klein" zu kiregen!

#1 Hallo,
ich hoffe es ist schon jemand wach!
Wir versuchen seit zwei Tagen eine infiziertes Notebook wieder fit zu kriegen. Ist wegen einiger Sachen nicht einfach platt zu machen.
Obwohl die recht offene Arbeitsweise vor dem Befall nicht dafür spricht, dass der Nutzer besonders sensibel war.

combiFix sagt:
ComboFix 08-01-16.1 - Administrator 2008-01-15 23:33:33.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.264 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\pos1.tmp
C:\pos10.tmp
C:\pos100.tmp
C:\pos1000.tmp
C:\pos1001.tmp
..
..
..

#2 Poste das log von Hijack This und hänge C:\combofix.txt als Anhang dran (Unten)
__________
MfG Argus

#3 DATFIND.BAT + HighJackThis + Anhang ComoboFix
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: ECB1-73F4

Verzeichnis von C:\WINDOWS\system32

17.01.2008 08:28 398.514 perfh009.dat
17.01.2008 08:28 60.782 perfc009.dat
17.01.2008 08:28 414.210 perfh007.dat
17.01.2008 08:28 74.252 perfc007.dat
17.01.2008 08:28 957.520 PerfStringBackup.INI
16.01.2008 23:56 2.184 wpa.dbl
15.01.2008 19:42 24.576 VundoFixSVC.exe
15.01.2008 08:33 35.072 uobmprbw.dat
15.01.2008 08:33 741.632 sykyeidq.dat
15.01.2008 08:33 42.240 tdxahrox.dat
15.01.2008 08:33 36.608 rtrnqerj.dat
15.01.2008 08:33 120.576 fzdndulo.dat
08.01.2008 15:34 1.188.375 libeay32.dll
08.01.2008 15:34 246.545 libssl32.dll
25.10.2007 16:55 173.872 FNTCACHE.DAT

2305 Datei(en) 407.359.849 Bytes
0 Verzeichnis(se), 15.962.148.864 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: ECB1-73F4

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

17.01.2008 09:49 113.048 datfind.txt
17.01.2008 08:51 7.179 hijackthis.log
17.01.2008 08:28 0 me_ikb5jXDSzh8yJ7g
17.01.2008 08:28 0 me_BaeMWDvxedCOuAu
17.01.2008 08:28 0 me_4kcNi4N2cX81tCi
17.01.2008 08:28 2.048 me_PMrhPq6SiMtKzfo
17.01.2008 08:28 0 me_9Ca626nIru2i8DX
28.06.2007 14:36 401.720 HijackThis.exe
11.02.2004 15:58 24.613 IadHide5.dll
9 Datei(en) 548.608 Bytes
0 Verzeichnis(se), 15.962.165.248 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: ECB1-73F4

Verzeichnis von C:\WINDOWS

17.01.2008 08:43 227 system.ini
17.01.2008 08:28 50 wiaservc.log
17.01.2008 08:28 159 wiadebug.log
17.01.2008 08:25 403.045 WindowsUpdate.log
17.01.2008 00:17 181 hpbafd.ini
16.01.2008 23:56 0 0.log
16.01.2008 23:56 2.048 bootstat.dat
16.01.2008 23:55 32.630 SchedLgU.Txt
15.01.2008 17:40 946.748 ntbtlog.txt
15.01.2008 16:25 906 wininit.ini
14.01.2008 15:49 191.078 setupapi.log
11.01.2008 14:27 54.156 QTFont.qfn
09.01.2008 09:34 0 nsreg.dat
08.01.2008 16:01 1.409 QTFont.for
12.11.2007 17:39 12.072 ModemLog_Fusion UMTS Quad-GPRS - 3G Modem #2.txt
26.10.2007 12:36 3.640.936 datawriter.log
26.10.2007 12:36 9.342 coredw.log
15.10.2007 09:48 27.928 wmsetup.log
147 Datei(en) 14.790.197 Bytes
0 Verzeichnis(se), 15.962.148.864 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: ECB1-73F4

Verzeichnis von C:\WINDOWS\temp

16.01.2008 23:57 16.384 Perflib_Perfdata_4d0.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 15.962.157.056 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: ECB1-73F4

Verzeichnis von C:\WINDOWS\Downloaded Program Files

21.10.2007 21:40 2.305 kavwebscan.inf
22.06.2006 10:41 5.032 swflash.inf
06.04.2005 21:34 1.054.504 CPCViewAX.ocx
06.04.2005 21:29 610 CPCViewAX.inf
21.08.2004 00:52 65 desktop.ini
5 Datei(en) 1.062.516 Bytes
0 Verzeichnis(se), 15.962.157.056 Bytes frei
.
.
.
HighJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:51:43, on 17.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe
C:\WINDOWS\system32\PGPserv.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ORL\VNC\WinVNC .exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fujitsu-siemens.de/rl/produkte/manageability/index.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1447B68A-626B-4E05-B973-6E6EFFBAD5C7} - C:\WINDOWS\system32\fcccy.dll (file missing)
O2 - BHO: (no name) - {17BEF153-9A21-4B80-B276-F2154F86F07D} - C:\WINDOWS\system32\geebb.dll (file missing)
O2 - BHO: {1fb260a3-3cc1-3f39-8fb4-6afcac922ba5} - {5ab229ca-cfa6-4bf8-93f3-1cc33a062bf1} - C:\WINDOWS\system32\jvubfjou.dll (file missing)
O2 - BHO: (no name) - {5F559CE6-6701-4E12-B06B-3A148CEE3126} - C:\WINDOWS\system32\creduig.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {F7E1B56E-84ED-4CEB-9DD1-584695E5DAEA} - c:\windows\system32\btcssb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [Winupdate Engine] C:\WINDOWS\system32\wupeng.exe
O4 - HKLM\..\RunOnce: [VundoFix] "\\dc1ber\secure\\vundofix.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PGPtray.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Fujitsu Siemens\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Fujitsu Siemens\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {0F7A9297-7268-11D1-B81A-00A076C01B0A} (CPC View ax Control) - http://www.cartesianinc.com/Products/CPCViewAX/Sdk/CpcViewAX.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = svbl.de
O17 - HKLM\Software\..\Telephony: DomainName = svbl.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{D515030E-6C2D-4163-9F77-663D19B00479}: NameServer = 10.96.49.6
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = svbl.de
O20 - Winlogon Notify: evhgdlgy - C:\WINDOWS\
O20 - Winlogon Notify: oezrxaeu - btcssb.dll (file missing)
O20 - Winlogon Notify: qomligh - C:\WINDOWS\
O20 - Winlogon Notify: winyxm32 - winyxm32.dll (file missing)
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Unknown owner - C:\WINDOWS\system32\bmwebcfg.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\ORL\VNC\WinVNC.exe (file missing)

--
End of file - 7178 bytes

#4 SAM1963

««
CCleaner anwenden
http://www.virus-protect.org/ccleaner.html

««
lade die dll hoch (kannst du von hier aus einkopieren)
http://www.virustotal.com/de/

C:\WINDOWS\system32\creduig.dll

poste den Report

------------------------------------------------------------

Combofix
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1447B68A-626B-4E05-B973-6E6EFFBAD5C7}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{17BEF153-9A21-4B80-B276-F2154F86F07D}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5ab229ca-cfa6-4bf8-93f3-1cc33a062bf1}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5F559CE6-6701-4E12-B06B-3A148CEE3126}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F7E1B56E-84ED-4CEB-9DD1-584695E5DAEA}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winupdate Engine"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{ED0ACB58-556F-21DA-DDFE-6D20F3F611BB}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\evhgdlgy]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\oezrxaeu]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomligh]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rege2usb]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winyxm32]

File::
C:\WINDOWS\system32\creduig.dll
C:\WINDOWS\system32\drivers\boblkhth.dat
C:\WINDOWS\system32\wupeng.exe
C:\WINDOWS\system32\uobmprbw.dat
C:\WINDOWS\system32\sykyeidq.dat
C:\WINDOWS\system32\tdxahrox.dat
C:\WINDOWS\system32\rtrnqerj.dat
C:\WINDOWS\system32\fzdndulo.dat

txt mit der rechten Maustaste auf das Symbol von Combofix ziehen



wende Combofix noch mal an - tippe 1 + poste den neuen Report

-----------

««
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

xvpuvcfs

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

ajztvshr

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Microsoft cache control

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 Hallo Pinguin,

ihr macht eine gute Arbeit mit dem Portal.

Die allgemeinen Verfahrenstipps (u. a. mit cureit!) haben mir bereits sehr geholfen. Der war gut in der Lage auch die creduig.dll "klein" zu kriegen.

Nach anfänglich großem Respekt bin ich auch mit HighJackThis ganz gut zurecht gekommen, um nocht Reste in der Registry zu beseitigen.

Heute geht das System (vorerst ohne Neuinstallation) wieder in Nutzung.

Mal sehen, ob wir es für dieses Mal überstanden haben.

Mehr Sicherheit wird es ab sofort auf jeden Fall geben.

Gruß

SAM

PS: Wenn ich meine Abrechnung durchkriege, dann denke ich an Euch. Gibt es eigentlich neben PayPal auch noch eine "ganz normale" Bankverbindung? Erhalten wir von Euch eine Rechnung, wenn wir das benötigen?