komische IP, klick it |
Willkommen, Gast ( Anmelden | Registrierung )
komische IP, klick it |
22.03.2007, 17:17
Beitrag
#21
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Die DLL kannst du ja ersteinmal umbenennen. Blacklight sollte eigentlich die Datei kdccl.exe bei einem Scan melden. Diese sorgt, bzw hat fuer die komischen IP Adressen Eintraege gesorgt.
Suche bitte im Windows oder System32 Ordner nach einer Datei Namens VirtualDNS.dll -------------------- MfG Ralf
|
|
|
22.03.2007, 17:26
Beitrag
#22
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.690 Mitglied seit: 11.01.2007 Mitglieds-Nr.: 5.718 Betriebssystem: Intrepid Ibex / Vista Virenscanner: NIS 2009 Firewall: Router/NIS 2009 |
ZITAT(r00t5yst3m @ 22.03.2007, 17:11) [snapback]191640[/snapback] die DLL im wondows/system32 ist ya Win-Trojan/Klone.131584... ...aka Trojan.Vundo (by Symantec) wollte ich nochmal so anmerken. Hier gibt's von Symantec ein Removal-Tool <Klick> -------------------- Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
------------------------------------------------------------------------------------------------------------------------------------------------- Die Situation ist aussichtslos aber nicht kritisch. ------------------------------------------------------------------------------------------------------------------------------------------------- Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut! ------------------------------------------------------------------------------------------------------------------------------------------------- Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen! |
|
|
22.03.2007, 17:33
Beitrag
#23
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Das Removaltool von Symantec kannste knicken und ich glaube natuerlich eher Antivirs Erkennung!
-------------------- MfG Ralf
|
|
|
22.03.2007, 17:35
Beitrag
#24
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
so ...
also raman hatte wie immer recht ... die exe wurde von blacklight gefunden und die DLL lösche ich grade (die von dem vundo oder wie der hieß) die andere DLL die virualDNS die hab ich nicht habe alles nachgeschaut /edit wie werde ich den tollen trojaner nun denn ganz los ?! Der Beitrag wurde von r00t5yst3m bearbeitet: 22.03.2007, 17:36 -------------------- |
|
|
22.03.2007, 17:37
Beitrag
#25
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Du musst die exe Datei von Blacklight umbenennen lassen und nach einem Neustart den im Hijackthis log neu auftauchenden Eintrag fixen. Die umbenannte exe kannst du auch bei Jotti/VT hochladen......
-------------------- MfG Ralf
|
|
|
22.03.2007, 17:43
Beitrag
#26
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
das is der neue logg da seh ich aber nix komisches oder so ~~
Logfile of HijackThis v1.99.1 Scan saved at 17:39:41, on 22.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe c:\programme\mcafee.com\agent\mcdetect.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe c:\PROGRA~1\mcafee.com\agent\mctskshd.exe c:\PROGRA~1\mcafee.com\vso\OasClnt.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe c:\programme\mcafee.com\vso\mcvsshld.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe c:\programme\mcafee.com\agent\mcagent.exe C:\WINDOWS\system32\RunDLL32.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.5.0_11\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe c:\progra~1\mcafee.com\vso\mcvsftsn.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\r00tsyst3m\Desktop\hijackthis\r00tsyst3m.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe und blacklight hat die datei wohl umbenannt aber in welchen namen ... -------------------- |
|
|
22.03.2007, 17:47
Beitrag
#27
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.690 Mitglied seit: 11.01.2007 Mitglieds-Nr.: 5.718 Betriebssystem: Intrepid Ibex / Vista Virenscanner: NIS 2009 Firewall: Router/NIS 2009 |
ZITAT(raman @ 22.03.2007, 17:32) [snapback]191645[/snapback] Das Removaltool von Symantec kannste knicken und ich glaube natuerlich eher Antivirs Erkennung! Zu dem Tool ganz speziell kann ich nix sagen, weil nie im Einsatz gehabt/gesehen. Hab aber mal Tr.Blackmail (od. so ähnlich) erfolgreich mithilfe von einem Symantec-Tool gesäubert... Und zu der Erkennung: Ist ja wirklich 'ne Glaubensfrage, da jede AV-Company ihre eigene Taxonomie benutzt... Zum Glück glaubst Du (in diesem Fall) nicht dem Bitdefender (zB) -------------------- Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
------------------------------------------------------------------------------------------------------------------------------------------------- Die Situation ist aussichtslos aber nicht kritisch. ------------------------------------------------------------------------------------------------------------------------------------------------- Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut! ------------------------------------------------------------------------------------------------------------------------------------------------- Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen! |
|
|
22.03.2007, 18:20
Beitrag
#28
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Oh, versteh mich nicht falsch. Die Tools von Symantec sind an sich gut, nur das fuer Vundo halt nicht. Das kannst du auch am Datum des Artikels erkennen. Das ist fast 2 Jahre alt.
ZITAT(r00t5yst3m @ 22.03.2007, 17:42) [snapback]191650[/snapback] und blacklight hat die datei wohl umbenannt aber in welchen namen ... Es hat einfach .ren angehaengt. Blacklight findet also nun nichts mehr? -------------------- MfG Ralf
|
|
|
23.03.2007, 10:23
Beitrag
#29
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
ne blacklight findet nix mehr ... die eine dll ist auf einmal auch verschwne findet nix mehr ... und die eine dll ist auch verschwunden ...
wollte mich schonmal in aller form bedanken dieses forum hat mir schon mehrmals sehr gut geholfen besonderen dank an raman bond und die kröte =P und edit / ~~ mcaffee hat de echt net gefunden obwohl vollversion ect AhnLab-V3 2007.3.23.0 03.22.2007 no virus found AntiVir 7.3.1.44 03.23.2007 TR/Dldr.DNSChanger.Gen Authentium 4.93.8 03.22.2007 W32/Trojan.YPO Avast 4.7.936.0 03.22.2007 Win32:DNSChanger-BA AVG 7.5.0.447 03.22.2007 Generic2.AAFB BitDefender 7.2 03.23.2007 Trojan.Dnschange.L CAT-QuickHeal 9.00 03.22.2007 (Suspicious) - DNAScan ClamAV devel-20070312 03.23.2007 no virus found DrWeb 4.33 03.23.2007 Trojan.DnsChange eSafe 7.0.14.0 03.22.2007 no virus found eTrust-Vet 30.6.3504 03.23.2007 Win32/Alureon!generic Ewido 4.0 03.22.2007 Downloader.DNSChanger FileAdvisor 1 03.23.2007 no virus found Fortinet 2.85.0.0 03.23.2007 no virus found F-Prot 4.3.1.45 03.23.2007 W32/Trojan.YPO F-Secure 6.70.13030.0 03.23.2007 Trojan.Win32.DNSChanger.in Ikarus T3.1.1.3 03.23.2007 Trojan.Win32.DNSChanger.hg Kaspersky 4.0.2.24 03.23.2007 Trojan.Win32.DNSChanger.in McAfee 4990 03.22.2007 no virus found Microsoft 1.2306 03.23.2007 Trojan:Win32/Alureon.A NOD32v2 2138 03.23.2007 probably a variant of Win32/Small.FB Norman 5.80.02 03.23.2007 W32/Suspicious_C.gen Panda 9.0.0.4 03.22.2007 Trj/DNSChanger.PJ Prevx1 V2 03.23.2007 no virus found Sophos 4.15.0 03.23.2007 no virus found Sunbelt 2.2.907.0 03.22.2007 VIPRE.Suspicious Symantec 10 03.23.2007 no virus found TheHacker 6.1.6.080 03.23.2007 no virus found UNA 1.83 03.16.2007 Trojan.Win32.DNSChanger.E252 VBA32 3.11.2 03.22.2007 Trojan.DnsChange VirusBuster 4.3.7:9 03.22.2007 Trojan.DNSChanger.MU Webwasher-Gateway 6.0.1 03.23.2007 Trojan.Dldr.DNSChanger.Gen ein lob an G-data anti viren kit ! hab die datei ma meinem kollegen gegeben dessen gdata es gleich gefunden hat ! fage ist mein system somit wider clean ? Der Beitrag wurde von r00t bearbeitet: 23.03.2007, 10:44 -------------------- |
|
|
23.03.2007, 11:01
Beitrag
#30
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.690 Mitglied seit: 11.01.2007 Mitglieds-Nr.: 5.718 Betriebssystem: Intrepid Ibex / Vista Virenscanner: NIS 2009 Firewall: Router/NIS 2009 |
Klingt ja erstmal ganz gut.
Welche Datei ist das denn, die Du Deinem Kumpel gegeben bzw. bei VT hochgeladen hast? Welche DNS sind jetzt in den TCP/IP-Eigenschaften eingetragen? Möglicherweise hast Du den Schädling entfernt, benutzt aber immernoch über die geänderten ukrainischen DNS-Server. Ob Dein System jetzt Clean bzw was noch wichtiger ist, wieder vertrauenswürdig ist, musst Du im Endeffekt selbst entscheiden, manch einem würde das reichen, manch einem nicht, siehe <hier> und <hier> Der Beitrag wurde von hypnosekroete bearbeitet: 23.03.2007, 11:04 -------------------- Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
------------------------------------------------------------------------------------------------------------------------------------------------- Die Situation ist aussichtslos aber nicht kritisch. ------------------------------------------------------------------------------------------------------------------------------------------------- Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut! ------------------------------------------------------------------------------------------------------------------------------------------------- Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen! |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 26.05.2024, 21:53 |