komische IP, klick it Einstellungen

[raman]

Die DLL kannst du ja ersteinmal umbenennen. Blacklight sollte eigentlich die Datei kdccl.exe bei einem Scan melden. Diese sorgt, bzw hat fuer die komischen IP Adressen Eintraege gesorgt.

Suche bitte im Windows oder System32 Ordner nach einer Datei Namens VirtualDNS.dll

[hypnosekroete]

die DLL im wondows/system32 ist ya Win-Trojan/Klone.131584...

...aka Trojan.Vundo (by Symantec) wollte ich nochmal so anmerken.

Hier gibt's von Symantec ein Removal-Tool <Klick>

[raman]

Das Removaltool von Symantec kannste knicken und ich glaube natuerlich eher Antivirs Erkennung!

[r00t]

so ...


also raman hatte wie immer recht ... die exe wurde von blacklight gefunden und die DLL lösche ich grade (die von dem vundo oder wie der hieß)

die andere DLL die virualDNS die hab ich nicht habe alles nachgeschaut


/edit wie werde ich den tollen trojaner nun denn ganz los ?!

Der Beitrag wurde von r00t5yst3m bearbeitet: 22.03.2007, 17:36

[raman]

Du musst die exe Datei von Blacklight umbenennen lassen und nach einem Neustart den im Hijackthis log neu auftauchenden Eintrag fixen. Die umbenannte exe kannst du auch bei Jotti/VT hochladen......

[r00t]

das is der neue logg da seh ich aber nix komisches oder so ~~

Logfile of HijackThis v1.99.1
Scan saved at 17:39:41, on 22.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
c:\programme\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\r00tsyst3m\Desktop\hijackthis\r00tsyst3m.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe


und blacklight hat die datei wohl umbenannt aber in welchen namen ...

[hypnosekroete]

Das Removaltool von Symantec kannste knicken und ich glaube natuerlich eher Antivirs Erkennung!

Zu dem Tool ganz speziell kann ich nix sagen, weil nie im Einsatz gehabt/gesehen.
Hab aber mal Tr.Blackmail (od. so ähnlich) erfolgreich mithilfe von einem Symantec-Tool gesäubert...

Und zu der Erkennung: Ist ja wirklich 'ne Glaubensfrage, da jede AV-Company ihre eigene Taxonomie benutzt...
Zum Glück glaubst Du (in diesem Fall) nicht dem Bitdefender (zB)

[raman]

Oh, versteh mich nicht falsch. Die Tools von Symantec sind an sich gut, nur das fuer Vundo halt nicht. Das kannst du auch am Datum des Artikels erkennen. Das ist fast 2 Jahre alt.

und blacklight hat die datei wohl umbenannt aber in welchen namen ...

Es hat einfach .ren angehaengt. Blacklight findet also nun nichts mehr?

[r00t]

ne blacklight findet nix mehr ... die eine dll ist auf einmal auch verschwne findet nix mehr ... und die eine dll ist auch verschwunden ...


wollte mich schonmal in aller form bedanken dieses forum hat mir schon mehrmals sehr gut geholfen besonderen dank an raman bond und die kröte =P



und edit /

~~ mcaffee hat de echt net gefunden obwohl vollversion ect

AhnLab-V3 2007.3.23.0 03.22.2007 no virus found
AntiVir 7.3.1.44 03.23.2007 TR/Dldr.DNSChanger.Gen
Authentium 4.93.8 03.22.2007 W32/Trojan.YPO
Avast 4.7.936.0 03.22.2007 Win32:DNSChanger-BA
AVG 7.5.0.447 03.22.2007 Generic2.AAFB
BitDefender 7.2 03.23.2007 Trojan.Dnschange.L
CAT-QuickHeal 9.00 03.22.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 03.23.2007 no virus found
DrWeb 4.33 03.23.2007 Trojan.DnsChange
eSafe 7.0.14.0 03.22.2007 no virus found
eTrust-Vet 30.6.3504 03.23.2007 Win32/Alureon!generic
Ewido 4.0 03.22.2007 Downloader.DNSChanger
FileAdvisor 1 03.23.2007 no virus found
Fortinet 2.85.0.0 03.23.2007 no virus found
F-Prot 4.3.1.45 03.23.2007 W32/Trojan.YPO
F-Secure 6.70.13030.0 03.23.2007 Trojan.Win32.DNSChanger.in
Ikarus T3.1.1.3 03.23.2007 Trojan.Win32.DNSChanger.hg
Kaspersky 4.0.2.24 03.23.2007 Trojan.Win32.DNSChanger.in
McAfee 4990 03.22.2007 no virus found
Microsoft 1.2306 03.23.2007 Trojan:Win32/Alureon.A
NOD32v2 2138 03.23.2007 probably a variant of Win32/Small.FB
Norman 5.80.02 03.23.2007 W32/Suspicious_C.gen
Panda 9.0.0.4 03.22.2007 Trj/DNSChanger.PJ
Prevx1 V2 03.23.2007 no virus found
Sophos 4.15.0 03.23.2007 no virus found
Sunbelt 2.2.907.0 03.22.2007 VIPRE.Suspicious
Symantec 10 03.23.2007 no virus found
TheHacker 6.1.6.080 03.23.2007 no virus found
UNA 1.83 03.16.2007 Trojan.Win32.DNSChanger.E252
VBA32 3.11.2 03.22.2007 Trojan.DnsChange
VirusBuster 4.3.7:9 03.22.2007 Trojan.DNSChanger.MU
Webwasher-Gateway 6.0.1 03.23.2007 Trojan.Dldr.DNSChanger.Gen


ein lob an G-data anti viren kit ! hab die datei ma meinem kollegen gegeben dessen gdata es gleich gefunden hat !

fage ist mein system somit wider clean ?

Der Beitrag wurde von r00t bearbeitet: 23.03.2007, 10:44

[hypnosekroete]

Klingt ja erstmal ganz gut.
Welche Datei ist das denn, die Du Deinem Kumpel gegeben bzw. bei VT hochgeladen hast?

Welche DNS sind jetzt in den TCP/IP-Eigenschaften eingetragen? Möglicherweise hast Du den Schädling entfernt, benutzt aber immernoch über die geänderten ukrainischen DNS-Server.

Ob Dein System jetzt Clean bzw was noch wichtiger ist, wieder vertrauenswürdig ist, musst Du im Endeffekt selbst entscheiden, manch einem würde das reichen, manch einem nicht, siehe <hier> und <hier>

Der Beitrag wurde von hypnosekroete bearbeitet: 23.03.2007, 11:04