[SammelThread] Viren, Würmer & Trojaner

[Spielkind]

> C:\Programme\DNA\btdna.exe
http://www.file.net/prozess/btdna.exe.html
Ich würde statt auf das Bittorrent lieber auf einen anderen Clienten setzen oder aber ganz auf das Fielsharing Tool verzichten
-> Programm deinstallieren und Eintrag fixen

> O2 - BHO: (no name) - {13F20E4F-F379-41EA-8F80-CCAAE787362A} - C:\WINDOWS\system32\hgGyyxXp.dll
> O2 - BHO: (no name) - {210AF1EC-596A-4848-9C4F-7EA64FA3AB5B} - C:\WINDOWS\system32\byXNdawv.dll (file missing)
> O2 - BHO: (no name) - {9E66B9B1-3A2A-42E1-8A64-1BF8FE7DD5FB} - C:\WINDOWS\system32\cbXoMcAs.dll
> O2 - BHO: {28309768-7977-e1c8-15c4-6e74a30f82dc} - {cd28f03a-47e6-4c51-8c1e-779786790382} - C:\WINDOWS\system32\vwxmywoa.dll
Meiner Meinung nach unnötig und kann entfernt werden. Einträge im HiJackThis Log fixen.

> O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
Wird der Bittorrent Client entfernt diesen Eintrag fixen.

> O16 - DPF: {D6855164-25C2-40D2-BA39-D8A57FF0B49C} (RedbananaVistaPlay Class) - h**p://suddenattack.redbanana.jp/_in...naAutoPlay.cab
> O20 - Winlogon Notify: hgGyyxXp - C:\WINDOWS\SYSTEM32\hgGyyxXp.dll
Ich würde diese Einträge auch fixen.

Ich finde keine Anzeichen für eine Spyware-Infektion.

Das Problem ist die nicht funktionierende Suchfunktion mit Firefox und Opera.

Kann das nicht, zumindest beim Firefox, auch an einem defekten Profil liegen?

 

[olympiakos]

Ich finde keine Anzeichen für eine Spyware-Infektion

Bist Du sicher?

Ich würde vorschlagen die dlls auf Virustotal hoch zuladen vllt. ist das keine Spyware sondern Trojaner.

h..p://hsuddenATTACK.redbanana.jp/ irgendwie Merkwürdig

 

[Spielkind]

Der Eintrag bezieht sich afaik auf ein ActiveX Element. In der Tat ist der Eintrag verdächtig und wird auch auf hijackthis.de moniert. Ich habe den Eintrag ja auch zur Löschung vorgeschlagen.

Gesetzten Fall das es sich um ein ActiveX Element handelt, kann dieses über den IE - Extras - Internetoptionen - Programme - AddOns verwalten entfernt werden.

Ich schaute das Log durch und analysierte auch auf hijackthis.de, aber zugegeben, ganz sicher bin ich nicht. Es kann mir (einem) immer mal was durch die Lappen gehen.

 

[olympiakos]

Ja genau deshalb habe ich auch geschrieben, dass Tobi774 auch die ActiveXes im IE überprüfen soll, aber das ist nicht alles:

Es laufen 2 x Rundll32.exe. Wäre nicht schlecht, wenn man mit den Process Explorer schauen würde, welche .dlls geladen werden und aktiv sind. (doppelklick auf rundll32.exe > Image > Command Line

 

[Spielkind]

Opps, sorry Ich habe deinen Post kurz vor 8 überlesen...

 

[schotti87]

Virenproblem mit meinem alten Rechner:

Hallo erstmal, habe vor kurzem ein enormes Virenproblem mit meinem Rechner, ich bemerkte dies als sich mein Kaspersky Anti-Virus 7.0 nichtmehr richtig aktuallisieren lies, habe es manuell geupdated und auf einmal kam eine flut an "Viren", diese werden aber nicht zugeordnet sondern es kommt immer nur eine Meldung das

z.B. explorer.EXE versucht .... zuzugreifen
svhost.exe ....

Gefunden
--------
Status Objekt
------ ------
gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Alexander Schott\Lokale Einstellungen\Temp\is-B266T.tmp\sdsetup[1].tmp
gefunden: potentiell gefährliche Software Invader Prozess: D:\WINDOWS\System32\svchost.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\WINDOWS\system32\svchost.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\WINDOWS\Explorer.EXE
gefunden: potentiell gefährliche Software Invader Prozess: D:\Programme\Spyware Doctor\pctsGui.exe
gefunden: potentiell gefährliche Software Invader Prozess: F:\Programme\OpenOffice.org 2.4\program\soffice.exe
gefunden: potentiell gefährliche Software Invader Prozess: F:\Programme\OpenOffice.org 2.4\program\soffice.bin
gefunden: potentiell gefährliche Software Invader Prozess: D:\WINDOWS\system32\nvsvc32.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\WINDOWS\system32\wscntfy.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\WINDOWS\system32\rundll32.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\Programme\Spyware Doctor\unins000.exe
gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Alexander Schott\Lokale Einstellungen\Temp\_iu14D2N.tmp
gefunden: potentiell gefährliche Software Invader Prozess: D:\Programme\Internet Explorer\iexplore.exe

Kann mir wer helfen, die wegzubekommen?

 

[tobi774]

Sudden Attack ist ein Online-Spiel, Autoplay gehört dazu -.-. Den Rest check ich mal!

Edit:

hgGyyxXp.dll: Aus dieser Datei:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.19.0 2008.06.18 -
AntiVir 7.8.0.55 2008.06.18 -
Authentium 5.1.0.4 2008.06.18 -
Avast 4.8.1195.0 2008.06.17 -
AVG 7.5.0.516 2008.06.18 Generic10.AOIE
BitDefender 7.2 2008.06.18 -
CAT-QuickHeal 9.50 2008.06.18 -
ClamAV 0.93.1 2008.06.18 -
DrWeb 4.44.0.09170 2008.06.18 -
eSafe 7.0.15.0 2008.06.18 -
eTrust-Vet 31.6.5884 2008.06.18 Win32/Chisyne.NN
Ewido 4.0 2008.06.18 -
F-Prot 4.4.4.56 2008.06.18 -
F-Secure 6.70.13260.0 2008.06.18 -
Fortinet 3.14.0.0 2008.06.18 -
GData 2.0.7306.1023 2008.06.18 -
Ikarus T3.1.1.26.0 2008.06.18 Trojan.Win32.Vundo.M
Kaspersky 7.0.0.125 2008.06.18 -
McAfee 5320 2008.06.18 Vundo
Microsoft 1.3604 2008.06.18 Trojan:Win32/Vundo.gen!M
NOD32v2 3197 2008.06.18 a variant of Win32/Adware.Virtumonde
Norman 5.80.02 2008.06.17 -
Panda 9.0.0.4 2008.06.18 -
Prevx1 V2 2008.06.18 Fraudulent Security Program
Rising 20.49.22.00 2008.06.18 -
Sophos 4.30.0 2008.06.18 Mal/Generic-A
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.18 Trojan.Vundo
TheHacker 6.2.92.354 2008.06.18 -
TrendMicro 8.700.0.1004 2008.06.18 -
VBA32 3.12.6.7 2008.06.18 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.18 -

Ok wie lösch ich das? Wo finde ich das? Die vundo.gen müssen weg, dass ist das was Firefox blocken soll hab ich nem Forum gelesen. Achja und Bittorrent benutz ich um Dateien mit meinen Freunden auszutauschen. Hauptsächlich HA für die Schule^^.

 

[olympiakos]

Ist ein Trojaner. Vergiss das mit den Löschen b.z.w Du wirst dich danach nie sicher sein.

Format C: u.s.w ist das beste was Du machen kannst.

Wenn Du dich fürs löschen entscheidest, weiß Du ja wo sich die Dateien befinden ^^.

Was ist mit den 2 rundll32.exe und den Process Explorer?

 

[tobi774]

Ich habe leider keine Partitionen und leider nur eine Festplatte. Format C ist schlecht. Also einfach die dll löschen oder mit Hijack was machen? Ich hab sowas noch nie gemacht^^.
Ehmm 2 rundll32.exe, ist das schlecht?

Edit:

hier noch:cbXoMcAs.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.19.0 2008.06.18 -
AntiVir 7.8.0.55 2008.06.18 -
Authentium 5.1.0.4 2008.06.18 -
Avast 4.8.1195.0 2008.06.17 -
AVG 7.5.0.516 2008.06.18 Generic10.ANYZ
BitDefender 7.2 2008.06.18 -
CAT-QuickHeal 9.50 2008.06.18 -
ClamAV 0.93.1 2008.06.18 -
DrWeb 4.44.0.09170 2008.06.18 Trojan.Virtumod.based.16
eSafe 7.0.15.0 2008.06.18 -
eTrust-Vet 31.6.5884 2008.06.18 -
Ewido 4.0 2008.06.18 -
F-Prot 4.4.4.56 2008.06.18 -
F-Secure 6.70.13260.0 2008.06.18 -
Fortinet 3.14.0.0 2008.06.18 -
GData 2.0.7306.1023 2008.06.18 -
Ikarus T3.1.1.26.0 2008.06.18 -
Kaspersky 7.0.0.125 2008.06.18 -
McAfee 5320 2008.06.18 -
Microsoft 1.3604 2008.06.18 Trojan:Win32/Vundo.gen!M
NOD32v2 3198 2008.06.18 a variant of Win32/Adware.Virtumonde
Norman 5.80.02 2008.06.17 -
Panda 9.0.0.4 2008.06.18 -
Prevx1 V2 2008.06.18 Fraudulent Security Program
Rising 20.49.22.00 2008.06.18 Trojan.Win32.Monder.a
Sophos 4.30.0 2008.06.18 Troj/Virtum-Gen
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.18 -
TheHacker 6.2.92.354 2008.06.18 -
TrendMicro 8.700.0.1004 2008.06.18 -
VBA32 3.12.6.7 2008.06.18 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.18 -

gleiche frage wie oben ... Und bitte konkret auf meine fragen antworten. OS neu aufsetzen ist wirklich die für mich allerletzte möglichkeit. So ich zock jetzt mal das gute GRAFIKSCHLECHTE Resident Evil 4 und warte auf eure Antworten^^.

 

[olympiakos]

Ehmm 2 rundll32.exe, ist das schlecht?

Nein, nicht unbedingt.

Überprüfe die trotzdem ^^@524 (doppelklick auf rundll32.exe > Image > Command Line)

Wa steht da?

 

[tobi774]

Zurzeit hab ich 3 -.-.

1. "C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

2. rundll32 "C:\WINDOWS\system32\vfmpyiwo.dll",s

3. rundll32 "C:\WINDOWS\system32\wtgxptpf.dll", b

Bitte schau dir nochmal meine Frage im 2.letztem Post an. Was muss ich löschen? Die ganzen dll Files usw. Das ist mir jetzt echt wichtig!

 

[olympiakos]

2. rundll32 "C:\WINDOWS\system32\vfmpyiwo.dll",s

3. rundll32 "C:\WINDOWS\system32\wtgxptpf.dll", b

Das sind auch Trojaner-Dateien - kannst ja mal auf Virustotal hochladen.

Ich denke Du hast mehr als einen Trojaner auf dem Rechner.

^^Natürlich erstmal alles löschen, die Dateien sind Schädlinge > mit Hijackthis Fixen, mit den Taskmanager die Prozesse beenden und notfalls mit Unlocker löschen.

Mit grösster Warscheinlichkeit wird ein Problem nach dem anderem wieder auftauchen, aber vllt hast Du Glück.

Übrigens, was fürn ein Virusprogramm hast Du? Den Trojaner hast Du selber installiert, eine Sicherheitslücke hat er bestimmt nicht ausgenutzt.

Ab hier kann ich dir nicht weiterhelfen, dass Du eine Partition hast tut nicht zu Sache...einen CD/DVD Brenner wirst Du doch haben, oder nicht?

 

[tobi774]

Ehm ich hab AntiVir(free edition). Also ich lösch dann jatzt mal die bösen Viren.

Edit: Ich kann keins löschen: Datei wird von einer anderen person bzw. Programm genutzt!

Prozesse hab ich fast alle beendet. Muss ich das im abgesicherten Modus machen? Mit Hijack alle falschen einträge gelöscht.
Die beiden rundll viren kann ich auch nicht löschen: Zugriff verweigert >.<.

 

[mat_2]

Hey Leute, ich seh schon hier sind richtige Profis unterwegs .

Könnt ihr mir mal bitte zur Seite stehen: ich bin von "TR/Virtumonde.24576" befallen. Die "Hauptdatei" wenn man das so sagen kann, die sich unter C:\....\System32 befand konnte von Avira Antivir gelöscht bzw. unter Quarantäne gestellt werden. Jetzt hab ich aber in der "msconfig" unter "systemstart" noch 2 .dll's gefunden, die irgendwelche Buchstabenkombinationen als Namen tragen, und mitstarten.
Desweiteren kann ich bestimmte Internetseiten wie google.at oder actebis.at oder studivz.net nicht aufrufen, es geht einfach nicht. Auch youtube.com spinnt total. Ich denke mal dass das damit zusammenhängt...
Mein Bruder befindet sich nämlich im selben WLAN Netzwerk wie ich, d.h. wir greifen auf den selben Router zu, und bei dem funzts ohne Probs...

Was kann ich da machen?

 

[tobi774]

ddl Dateien löschen! Wenn du weißt welche Programme sie benutzen beim starten, beende sie. Ich weiß nämlich nicht welche Programme bei mir benutzt werden-.- und kann sie deshalb nicht löschen :'(.

 

[mat_2]

Danke schonmal... Bin dabei. Spybot und Hijackthis ackern schon wie verrückt...

 

[olympiakos]

@Tobi, die beiden rundll32.exe mit den Taskmanager/Pocess Explorer beenden/killen und dann die dlls löschen.

Vorsicht: nicht die rundl32.exe löschen.

Notfalls mit Gewalt mittels Unlocker

Aber auch hier vorher die dlls auf Virutotal hochladen um sicher zu gehen.

Lade mal Testweise ein anderes VirenTool (Kaspersky) und scanne noch mal. Dein Avira hat schon den Geist aufgegeben.

Edit: mit Kasperskys proaktiven Schutz (einschalten) findest Du vllt. nach einen Neustart den Schuldigen, wenn er noch aktiv ist.

 

[tobi774]

Die beiden "rundll Viren" sind weg...jetzt kommt nach jedem Start ein RUNDLL Fehler.
Die anderen beiden sind mit Explorer verbunden und deswegen kann ich die nicht löschen-.-.
Ich versuch jetzt mal mittels der Engines auf der Virustotal Seite: Also lad ich mir mal die programme runter die was erkannt haben.

Edit: Und jetzt grade geht Firefox aber wieder, da verzichte ich auf Rundll oder hol mir die Original Dateien vom meinem bruder . Achja ein rundll32.exe läuft noch, das richtige^^Ok und jetzt scan ich grad mit McAffe Demo Version.

McAffe ist scheiße.
Hier mal ein Programm speziell für die Vundo viren. Es heißt VirtumundoBeGone.

Hier ein txt.file:

[06/19/2008, 19:24:13] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Tobi\Desktop\VirtumundoBeGone.exe" )
[06/19/2008, 19:24:19] - Detected System Information:
[06/19/2008, 19:24:19] - Windows Version: 5.1.2600, Service Pack 2
[06/19/2008, 19:24:19] - Current Username: Tobi (Admin)
[06/19/2008, 19:24:19] - Windows is in NORMAL mode.
[06/19/2008, 19:24:19] - Searching for Browser Helper Objects:
[06/19/2008, 19:24:19] - BHO 1: {13F20E4F-F379-41EA-8F80-CCAAE787362A} ()
[06/19/2008, 19:24:19] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/19/2008, 19:24:19] - Checking for HKLM\...\Winlogon\Notify\hgGyyxXp
[06/19/2008, 19:24:19] - Found: HKLM\...\Winlogon\Notify\hgGyyxXp - This is probably Virtumundo.
[06/19/2008, 19:24:19] - Assigning {13F20E4F-F379-41EA-8F80-CCAAE787362A} MSEvents Object
[06/19/2008, 19:24:19] - BHO list has been changed! Starting over...
[06/19/2008, 19:24:19] - BHO 1: {13F20E4F-F379-41EA-8F80-CCAAE787362A} (MSEvents Object)
[06/19/2008, 19:24:19] - ALERT: Found MSEvents Object!
[06/19/2008, 19:24:19] - BHO 2: {210AF1EC-596A-4848-9C4F-7EA64FA3AB5B} ()
[06/19/2008, 19:24:19] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/19/2008, 19:24:19] - Checking for HKLM\...\Winlogon\Notify\byXNdawv
[06/19/2008, 19:24:19] - Key not found: HKLM\...\Winlogon\Notify\byXNdawv, continuing.
[06/19/2008, 19:24:19] - BHO 3: {320e69a3-3b48-486f-889e-12eedd8e84b1} ()
[06/19/2008, 19:24:19] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/19/2008, 19:24:19] - Checking for HKLM\...\Winlogon\Notify\cngantst
[06/19/2008, 19:24:19] - Key not found: HKLM\...\Winlogon\Notify\cngantst, continuing.
[06/19/2008, 19:24:19] - BHO 4: {638F60C3-3D85-4FEE-B5C8-AB2131E54167} ()
[06/19/2008, 19:24:19] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/19/2008, 19:24:19] - Checking for HKLM\...\Winlogon\Notify\cbXoMcAs
[06/19/2008, 19:24:19] - Key not found: HKLM\...\Winlogon\Notify\cbXoMcAs, continuing.
[06/19/2008, 19:24:19] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/19/2008, 19:24:19] - Finished Searching Browser Helper Objects
[06/19/2008, 19:24:19] - *** Detected MSEvents Object
[06/19/2008, 19:24:19] - Trying to remove MSEvents Object...
[06/19/2008, 19:24:20] - Terminating Process: IEXPLORE.EXE
[06/19/2008, 19:24:20] - Terminating Process: RUNDLL32.EXE
[06/19/2008, 19:24:21] - Disabling Automatic Shell Restart
[06/19/2008, 19:24:21] - Terminating Process: EXPLORER.EXE
[06/19/2008, 19:24:21] - Suspending the NT Session Manager System Service
[06/19/2008, 19:24:21] - Terminating Windows NT Logon/Logoff Manager
[06/19/2008, 19:24:21] - Re-enabling Automatic Shell Restart
[06/19/2008, 19:24:21] - File to disable: C:\WINDOWS\system32\hgGyyxXp.dll
[06/19/2008, 19:24:21] - Renaming C:\WINDOWS\system32\hgGyyxXp.dll -> C:\WINDOWS\system32\hgGyyxXp.dll.vir
[06/19/2008, 19:24:21] - File successfully renamed!
[06/19/2008, 19:24:21] - Removing HKLM\...\Browser Helper Objects\{13F20E4F-F379-41EA-8F80-CCAAE787362A}
[06/19/2008, 19:24:22] - Removing HKCR\CLSID\{13F20E4F-F379-41EA-8F80-CCAAE787362A}
[06/19/2008, 19:24:22] - Adding Kill Bit for ActiveX for GUID: {13F20E4F-F379-41EA-8F80-CCAAE787362A}
[06/19/2008, 19:24:22] - Deleting ATLEvents/MSEvents Registry entries
[06/19/2008, 19:24:22] - Removing HKLM\...\Winlogon\Notify\hgGyyxXp
[06/19/2008, 19:24:22] - Searching for Browser Helper Objects:
[06/19/2008, 19:24:22] - BHO 1: {210AF1EC-596A-4848-9C4F-7EA64FA3AB5B} ()
[06/19/2008, 19:24:22] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/19/2008, 19:24:22] - Checking for HKLM\...\Winlogon\Notify\byXNdawv
[06/19/2008, 19:24:22] - Key not found: HKLM\...\Winlogon\Notify\byXNdawv, continuing.
[06/19/2008, 19:24:22] - BHO 2: {320e69a3-3b48-486f-889e-12eedd8e84b1} ()
[06/19/2008, 19:24:22] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/19/2008, 19:24:22] - Checking for HKLM\...\Winlogon\Notify\cngantst
[06/19/2008, 19:24:22] - Key not found: HKLM\...\Winlogon\Notify\cngantst, continuing.
[06/19/2008, 19:24:22] - BHO 3: {638F60C3-3D85-4FEE-B5C8-AB2131E54167} ()
[06/19/2008, 19:24:22] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/19/2008, 19:24:22] - Checking for HKLM\...\Winlogon\Notify\cbXoMcAs
[06/19/2008, 19:24:22] - Key not found: HKLM\...\Winlogon\Notify\cbXoMcAs, continuing.
[06/19/2008, 19:24:22] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/19/2008, 19:24:22] - Finished Searching Browser Helper Objects
[06/19/2008, 19:24:22] - Finishing up...
[06/19/2008, 19:24:22] - A restart is needed.
[06/19/2008, 19:24:35] - Attempting to Restart via STOP error (Blue Screen!)


Und es erstellen sich wohl immer wieder dlls nach einem neustart die sich als rundll ausgeben wenn ich diese lösche geht firefox immer^^
auch wenn ich mittlerweile nach jedem neustart "angebliche"(vorsichtig gesagt)rundll fehlermeldungen bekomme.


Was muss ich nun machen? . Bin zwar schon am verzweifeln. ich glaub ich brenn mal meine Daten und dann naja neues Windows >.< . bin aber nicht zufrieden damit... Ich gedulde mich jetzt noch ca. 1Tag wenn ich es bis dahin nicht geschafft habe => neues XP

 

[Dr. Wuah]

auf jeden Fall neu Formatieren. Dein System ist schon infiziert.
Die Dateien stellen sich immer wieder von selbst her, wie du selbst schreibst. Das heißt durch einfaches Löschen wirst du die Dinger nicht wegbekommen.
Selbst wenn du es schaffen solltest, weiß du nicht, ob noch andere Sicherheitslücken in deinem System drin sind, und ob vielleicht ein anderer Virus sofort wieder anfängt, neue runterzuladen....
Format sollte dagegen sicher sein.
Sichere einfach alle Daten auf eine DVD oder so, die du noch unbedingt brauchst...(nach möglichkeit schaust du DAVOR NOCH, ob da auch ein Virus dabei is )

 

[Jolly91]

Ein Freund von mir hat einen Virenversäuchten Computer. Der ist das letzte mal vor 6-10 Jahren aufgesetzt worden. Da kommt immer so ein ding mit XP Security center oder Your Computer is been infected oder System crash.

Das ist sehr arg. Hab mal Avast bei ihm runtergeladen. Nach 3 minuten hatten wir schon 10 Trojaner, und ein paar Ad-awar und malware alles halt.