Virtumonde (?) unter WinXP nicht "klein" zu kiregen! |
||
---|---|---|
#0
| ||
16.01.2008, 09:06
...neu hier
Beiträge: 3 |
||
|
||
16.01.2008, 09:39
Ehrenmitglied
Beiträge: 6028 |
#2
Poste das log von Hijack This und hänge C:\combofix.txt als Anhang dran (Unten)
__________ MfG Argus |
|
|
||
16.01.2008, 09:58
...neu hier
Themenstarter Beiträge: 3 |
#3
DATFIND.BAT + HighJackThis + Anhang ComoboFix
. . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Datenträger in Laufwerk C: ist System Volumeseriennummer: ECB1-73F4 Verzeichnis von C:\WINDOWS\system32 17.01.2008 08:28 398.514 perfh009.dat 17.01.2008 08:28 60.782 perfc009.dat 17.01.2008 08:28 414.210 perfh007.dat 17.01.2008 08:28 74.252 perfc007.dat 17.01.2008 08:28 957.520 PerfStringBackup.INI 16.01.2008 23:56 2.184 wpa.dbl 15.01.2008 19:42 24.576 VundoFixSVC.exe 15.01.2008 08:33 35.072 uobmprbw.dat 15.01.2008 08:33 741.632 sykyeidq.dat 15.01.2008 08:33 42.240 tdxahrox.dat 15.01.2008 08:33 36.608 rtrnqerj.dat 15.01.2008 08:33 120.576 fzdndulo.dat 08.01.2008 15:34 1.188.375 libeay32.dll 08.01.2008 15:34 246.545 libssl32.dll 25.10.2007 16:55 173.872 FNTCACHE.DAT 2305 Datei(en) 407.359.849 Bytes 0 Verzeichnis(se), 15.962.148.864 Bytes frei . . . Datenträger in Laufwerk C: ist System Volumeseriennummer: ECB1-73F4 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 17.01.2008 09:49 113.048 datfind.txt 17.01.2008 08:51 7.179 hijackthis.log 17.01.2008 08:28 0 me_ikb5jXDSzh8yJ7g 17.01.2008 08:28 0 me_BaeMWDvxedCOuAu 17.01.2008 08:28 0 me_4kcNi4N2cX81tCi 17.01.2008 08:28 2.048 me_PMrhPq6SiMtKzfo 17.01.2008 08:28 0 me_9Ca626nIru2i8DX 28.06.2007 14:36 401.720 HijackThis.exe 11.02.2004 15:58 24.613 IadHide5.dll 9 Datei(en) 548.608 Bytes 0 Verzeichnis(se), 15.962.165.248 Bytes frei . . . Datenträger in Laufwerk C: ist System Volumeseriennummer: ECB1-73F4 Verzeichnis von C:\WINDOWS 17.01.2008 08:43 227 system.ini 17.01.2008 08:28 50 wiaservc.log 17.01.2008 08:28 159 wiadebug.log 17.01.2008 08:25 403.045 WindowsUpdate.log 17.01.2008 00:17 181 hpbafd.ini 16.01.2008 23:56 0 0.log 16.01.2008 23:56 2.048 bootstat.dat 16.01.2008 23:55 32.630 SchedLgU.Txt 15.01.2008 17:40 946.748 ntbtlog.txt 15.01.2008 16:25 906 wininit.ini 14.01.2008 15:49 191.078 setupapi.log 11.01.2008 14:27 54.156 QTFont.qfn 09.01.2008 09:34 0 nsreg.dat 08.01.2008 16:01 1.409 QTFont.for 12.11.2007 17:39 12.072 ModemLog_Fusion UMTS Quad-GPRS - 3G Modem #2.txt 26.10.2007 12:36 3.640.936 datawriter.log 26.10.2007 12:36 9.342 coredw.log 15.10.2007 09:48 27.928 wmsetup.log 147 Datei(en) 14.790.197 Bytes 0 Verzeichnis(se), 15.962.148.864 Bytes frei . . . Datenträger in Laufwerk C: ist System Volumeseriennummer: ECB1-73F4 Verzeichnis von C:\WINDOWS\temp 16.01.2008 23:57 16.384 Perflib_Perfdata_4d0.dat 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 15.962.157.056 Bytes frei . . . Datenträger in Laufwerk C: ist System Volumeseriennummer: ECB1-73F4 Verzeichnis von C:\WINDOWS\Downloaded Program Files 21.10.2007 21:40 2.305 kavwebscan.inf 22.06.2006 10:41 5.032 swflash.inf 06.04.2005 21:34 1.054.504 CPCViewAX.ocx 06.04.2005 21:29 610 CPCViewAX.inf 21.08.2004 00:52 65 desktop.ini 5 Datei(en) 1.062.516 Bytes 0 Verzeichnis(se), 15.962.157.056 Bytes frei . . . HighJackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:51:43, on 17.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\DATEV\SYSTEM\PSNTSERV.EXE C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe C:\WINDOWS\system32\PGPserv.exe C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe C:\WINDOWS\system32\svchost.exe C:\Programme\ORL\VNC\WinVNC .exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\explorer.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\PROGRA~1\WINZIP\wzqkpick.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fujitsu-siemens.de/rl/produkte/manageability/index.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1447B68A-626B-4E05-B973-6E6EFFBAD5C7} - C:\WINDOWS\system32\fcccy.dll (file missing) O2 - BHO: (no name) - {17BEF153-9A21-4B80-B276-F2154F86F07D} - C:\WINDOWS\system32\geebb.dll (file missing) O2 - BHO: {1fb260a3-3cc1-3f39-8fb4-6afcac922ba5} - {5ab229ca-cfa6-4bf8-93f3-1cc33a062bf1} - C:\WINDOWS\system32\jvubfjou.dll (file missing) O2 - BHO: (no name) - {5F559CE6-6701-4E12-B06B-3A148CEE3126} - C:\WINDOWS\system32\creduig.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: (no name) - {F7E1B56E-84ED-4CEB-9DD1-584695E5DAEA} - c:\windows\system32\btcssb.dll (file missing) O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe O4 - HKLM\..\Run: [Winupdate Engine] C:\WINDOWS\system32\wupeng.exe O4 - HKLM\..\RunOnce: [VundoFix] "\\dc1ber\secure\\vundofix.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PGPtray.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Fujitsu Siemens\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Fujitsu Siemens\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: bmnet.dll O10 - Unknown file in Winsock LSP: bmnet.dll O10 - Unknown file in Winsock LSP: bmnet.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {0F7A9297-7268-11D1-B81A-00A076C01B0A} (CPC View ax Control) - http://www.cartesianinc.com/Products/CPCViewAX/Sdk/CpcViewAX.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = svbl.de O17 - HKLM\Software\..\Telephony: DomainName = svbl.de O17 - HKLM\System\CCS\Services\Tcpip\..\{D515030E-6C2D-4163-9F77-663D19B00479}: NameServer = 10.96.49.6 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = svbl.de O20 - Winlogon Notify: evhgdlgy - C:\WINDOWS\ O20 - Winlogon Notify: oezrxaeu - btcssb.dll (file missing) O20 - Winlogon Notify: qomligh - C:\WINDOWS\ O20 - Winlogon Notify: winyxm32 - winyxm32.dll (file missing) O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Unknown owner - C:\WINDOWS\system32\bmwebcfg.exe (file missing) O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing) O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\ORL\VNC\WinVNC.exe (file missing) -- End of file - 7178 bytes Anhang: combo-fix.log.txt Dieser Beitrag wurde am 16.01.2008 um 10:06 Uhr von SAM1963 editiert.
|
|
|
||
16.01.2008, 10:58
Ehrenmitglied
Beiträge: 1441 |
#4
SAM1963
«« CCleaner anwenden http://www.virus-protect.org/ccleaner.html «« lade die dll hoch (kannst du von hier aus einkopieren) http://www.virustotal.com/de/ C:\WINDOWS\system32\creduig.dll poste den Report ------------------------------------------------------------ Combofix Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat Registry::txt mit der rechten Maustaste auf das Symbol von Combofix ziehen wende Combofix noch mal an - tippe 1 + poste den neuen Report ----------- «« http://www.virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) xvpuvcfs in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) ajztvshr in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Microsoft cache control in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
17.01.2008, 06:34
...neu hier
Themenstarter Beiträge: 3 |
#5
Hallo Pinguin,
ihr macht eine gute Arbeit mit dem Portal. Die allgemeinen Verfahrenstipps (u. a. mit cureit!) haben mir bereits sehr geholfen. Der war gut in der Lage auch die creduig.dll "klein" zu kriegen. Nach anfänglich großem Respekt bin ich auch mit HighJackThis ganz gut zurecht gekommen, um nocht Reste in der Registry zu beseitigen. Heute geht das System (vorerst ohne Neuinstallation) wieder in Nutzung. Mal sehen, ob wir es für dieses Mal überstanden haben. Mehr Sicherheit wird es ab sofort auf jeden Fall geben. Gruß SAM PS: Wenn ich meine Abrechnung durchkriege, dann denke ich an Euch. Gibt es eigentlich neben PayPal auch noch eine "ganz normale" Bankverbindung? Erhalten wir von Euch eine Rechnung, wenn wir das benötigen? |
|
|
||
ich hoffe es ist schon jemand wach!
Wir versuchen seit zwei Tagen eine infiziertes Notebook wieder fit zu kriegen. Ist wegen einiger Sachen nicht einfach platt zu machen.
Obwohl die recht offene Arbeitsweise vor dem Befall nicht dafür spricht, dass der Nutzer besonders sensibel war.
combiFix sagt:
ComboFix 08-01-16.1 - Administrator 2008-01-15 23:33:33.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.264 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\pos1.tmp
C:\pos10.tmp
C:\pos100.tmp
C:\pos1000.tmp
C:\pos1001.tmp
..
..
..