Virtumonde

D

Dergepard

New member
Hallo Leute,

beim heutigen Scan mit Spybot tauchte die Meldung Virtumonde in C:\windows\system32\vade232.dll auf. Spybot konnte es aber nicht entfernen.

AVG Anti-Spyware und Ad-Aware 2007 haben im abgesicherten Modus dort nichts entdeckt.

Habt ihr bitte einen Tipp?

Logfile of HijackThis v1.99.1
Scan saved at 00:29:11, on 15.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Webshots\WebshotsTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Eigene Dateien\downloads\Systemprogramme\hijackthis\HjT1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: PopupManager Class - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Programme\Popup Manager\PopupMgr_1.0.2.1P.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (disabled by BHODemon)
O2 - BHO: YahooTaggedBM Class - {65D886A2-7CA7-479B-BB95-14D1EFB7946A} - C:\Programme\Yahoo!\Common\YIeTagBm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Outlook.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
O4 - Global Startup: Exif Launcher.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1D168290-F3DF-4842-94C3-2862596771FB} (Yahoo! Fotos Easy Upload Tool Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_1de.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) -
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.5.0_02) -
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.5.0_04) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = silentfox
O17 - HKLM\Software\..\Telephony: DomainName = silentfox
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EE79F44-7A80-4170-8A5E-74684B904E10}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = silentfox
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EE79F44-7A80-4170-8A5E-74684B904E10}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = silentfox
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe

Viele Grüße von Martin.
 
Ich tippe mal ganz stark darauf, dass das ein False Positive (eine Fehlerkennung) ist, die mit dem nächsten Update behoben sein sollte. Aber poste zur Sicherheit ruhig mal die Sachen die raman angefordert hat

Gruß,
Markus
 
Hallo,

beim heutigen Scann habe ich folgenden Eintrag bekommen:

Virtumonde
C:\Windows\system32\Ctrsct16.dll

Die Datei konnte nicht entfernt werden. Wie werde ich sie los?
 
Hallo Raman und Markus,

sorry das es so lange gedauert hat. Ging nicht eher.

Hier der Report von ComboFix:

ComboFix 07-06-13.3 - C:\Eigene Dateien\downloads\Systemprogramme\ComboFix.exe
"Silentfox" - 2007-06-15 15:41:21 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-15 to 2007-06-15 )))))))))))))))))))))))))))))))


2007-06-14 23:24 <DIR> d-------- C:\Programme\Lavasoft
2007-06-14 23:24 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-06-14 23:19 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-06-05 16:37 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-06-04 15:18 9,344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 15:17 8,320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 15:14 6,272 --a------ C:\WINDOWS\system32\drivers\AWRTPD.sys


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-15 08:07:06 -------- d-----w C:\Programme\AceHTML Freeware
2007-06-14 21:22:04 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-06-14 17:10:15 -------- d-----w C:\DOKUME~1\SILENT~1\ANWEND~1\PhotoLine
2007-06-12 13:39:09 -------- d-----w C:\Programme\Webshots
2007-06-11 16:31:53 -------- d-----w C:\Programme\PhotoLine
2007-06-06 16:10:17 -------- d--h--w C:\Programme\WindowsUpdate
2007-06-06 09:12:33 -------- d-----w C:\Programme\PhotoLine952
2007-05-27 20:37:39 -------- d-----w C:\DOKUME~1\SILENT~1\ANWEND~1\ZipGenius
2007-05-17 09:11:53 -------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-13 19:26:03 -------- d-----w C:\Programme\Tiny Hexer
2007-05-09 19:29:56 -------- d-----w C:\Programme\IrfanView
2007-05-08 15:46:29 -------- d-----w C:\DOKUME~1\SILENT~1\ANWEND~1\Canon
2007-05-06 11:29:43 -------- d-----w C:\Programme\a-squared HiJackFree
2007-05-02 19:03:26 -------- d-----w C:\Programme\RegSeeker
2007-05-02 18:52:01 -------- d-----w C:\Programme\TuneUp Utilities
2007-05-02 17:55:57 -------- d-----w C:\DOKUME~1\SILENT~1\ANWEND~1\Skype
2007-05-01 08:36:53 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-15 14:57:17 -------- d-----w C:\Programme\Safer Networking
2007-04-13 13:19:52 7,680 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{08E74C67-99A6-45C7-94DA-A397A8FD8082}=C:\Programme\Popup Manager\PopupMgr_1.0.2.1P.dll [2004-04-16 05:45]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 02:04]
{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}=__BHODemonDisabled []
{65D886A2-7CA7-479B-BB95-14D1EFB7946A}=C:\Programme\Yahoo!\Common\YIeTagBm.dll [2005-01-24 09:55]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2002-10-28 08:38 C:\WINDOWS\SOUNDMAN.EXE]
"SpeedTouch USB Diagnostics"="C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" [2002-05-03 10:40]
"POINTER"="C:\Programme\Microsoft Hardware\Mouse\point32.exe" [2002-04-11 20:47]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-22 10:25]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 02:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"=0 (0x0)
"NoColorChoice"=0 (0x0)
"NoSizeChoice"=0 (0x0)
"NoDispBackgroundPage"=0 (0x0)
"NoDispScrSavPage"=0 (0x0)
"NoDispCPL"=0 (0x0)
"NoVisualStyleChoice"=0 (0x0)
"NoDispSettingsPage"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStartMenuMyMusic"=0 (0x0)
"NoActiveDesktopChanges"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)
"NoSaveSettings"=0 (0x0)
"NoThemesTab"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2007-05-30 14:29]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Driver]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Guard]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent]
C:\Programme\Medion\PowerVCR II\Agent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVSCHED32]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDDHealth]
C:\Programme\HDD Health\hddhealth.exe -wl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Programme\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Remote_Agent]
C:\Programme\Medion\PowerVCR II\RemoteAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
"C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ERSvc"=2 (0x2)
"mnmsrvc"=3 (0x3)
"Messenger"=3 (0x3)
"LmHosts"=2 (0x2)
"lanmanserver"=2 (0x2)
"SLEE_401_SERVICE"=2 (0x2)
"WmdmPmSN"=3 (0x3)
"WZCSVC"=2 (0x2)
"SandraTheSrv"=3 (0x3)
"SandraDataSrv"=3 (0x3)
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-15 15:48:07
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************

Completion time: 2007-06-15 15:49:57
C:\ComboFix-quarantined-files.txt ... 2007-06-15 15:49
C:\ComboFix2.txt ... 2007-05-02 21:44

--- E O F ---

Code: 
2005-07-02 20:58      408    --a------    C:\Qoobox\Quarantine\C\INSTALL.LOG.vir


Auflistung der Ordnerpfade fr Volume Festplatte Basic
Volumenummer: 089D-3445
C:\QOOBOX
\---Quarantine
    +---C
    |       INSTALL.LOG.vir
    |       
    \---Registry_backups

Vielen Dank für die Hilfe und ein ganz dickes Lob für die Aktiven hier.

Viele Grüße von Martin.
 
Hallo Raman,

das habe ich gestern bereits gemacht! Bei Virustotal und bei Jotti. Beides Mal keinen Fund.

Mich hatte der Fund durch Spybot völlig überrascht denn es läuft ja der TeaTimer die ganze Zeit. Eigentlich dürften keine Eingriffe in die Registry durchgeführt werden.

Viele Grüße von einem sehr erleichterten Martin.
 
Vundo ist eine ganz schoen "linke Sau". Ich muss zugeben, das ich nicht weiss, ob der Teatimer das blocken wuerde. Muesste ich mal testen. Deine Meldung scheint aber wirklich ein Fehlalarm zu sein.

Du kannst noch die ganzen "(no name)" Eintraege in Hijackthis fixen, wenn du willst. Bei dem Eintrag, der sich auch BHO deamon bezieht, kann ich es dir nicht sagen, da ich nicht weiss, ob de BH Deamon nutzt.
 
Hallo Ralf,

das kann ich mir gut vorstellen. In absoluter Sicherheit wiege ich mich sowieso nicht. Manchmal werde ich deswegen schon belächelt.

Heute in der Früh habe ich noch ein Tool von Symantec laufen lassen. Das Ergebnis war auch negativ.

Symantec Adware.VirtuMonde Removal Tool 1.0.3
Adware.VirtuMonde has not been found on your computer.
Click to expand...

Viele Grüße von Martin.
 
Das Symantec Tool kann man in diesem Zusammenhang leider vergessen, da es schon lange nicht mehr aktualisiert wurde.

Inzwischen weiss ich, das der Teatimer bei neuen Versionen von Vundo zwar warnt, das Aenderungen vorgenommen werden sollen, aber es kann diese Aenderungen nicht blocken.
 
Morgen Ralf,

danke. In beiden Fällen ist das gut zu wissen.

Wenn ich darf, möchte ich noch eine kleine Anregung anführen. Der Scan dauert ja mittlerweile ziemlich lange. Zumindest bei mir. Der Fund fand ziemlich am Ende oder hinterem Drittel des Scans statt. Dann gab es die Möglichkeit das Problem zu beheben. Spybot konnte das nicht. Warum das so ist, dazu fehlt mir das Hintergrundwissen. Als Lösung bot dann Spybot an, beim nächsten Start mitzustarten. Gesagt getan. Nur dann macht Spybot nochmals einen kompletten Scan. Das dauert!

Idee, kann aber sein dass die Idee Blödsinn ist. Den Fund in einem Logfile ablegen und das beim Neustart gleich versuchen zu beheben. Erspart unheimlich Zeit. Vor allem wenn es wieder nicht geht. Aber vielleicht gibt es das bereits und ich habe es nur nicht gefunden.

Und was mir auch ganz kurios vorkam, war dass Spybot im abgesicherten Modus nicht mit gestartet ist.

Ich würde mein Wissen über diese Materie gerne vertiefen. Gibt es dazu Bücher und Websites die okay sind und einem nicht mit Müll zukippen?

Viele Grüße von Martin.
 
raman said:
Inzwischen weiss ich, das der Teatimer bei neuen Versionen von Vundo zwar warnt, das Aenderungen vorgenommen werden sollen, aber es kann diese Aenderungen nicht blocken.
Click to expand...

Trifft das auch auf euren neuentwickelten TeaTimer 1.5 Beta zu ?

gruß andreas

PS: Ist ja wirklich eine ganz schön "linke" Wutz, wenn er die Blockierung von Schreibzugriffen in der Registry einfach umgeht.
 
Es aendert sich mit der Teatimerbeta folgendes(alles bezogen auf Vundo):

Run Eintraege werden wirklich geblockt.
Der Dropper der Dateien wird gemeldet!! und kann gleich geloescht werden
Eintraege in Winlogon(Hijackthis "O20" Eintraege) und BHO("O2" Eintraege) werden nach wie vor gemeldet, aber leider nicht geblockt, auch wenn der Teatier das meldet.
 
Hallo Ralf,

eine Frage hätte ich noch zu dieser Virtumonde und Vundo - Geschichte. Wie oder auf welchen Wegen wird der Rechner infiziert?

Und diese Frage ist wohl untergegangen. Ich hätte aber gerne eine Antwort.

Ich würde mein Wissen über diese Materie gerne vertiefen. Gibt es dazu Bücher und Websites die okay sind und einem nicht mit Müll zukippen?
Click to expand...

Grüße Martin.
 
Ich kenne 2 Wege, einmal ueber ein Java expoit und man kann diverse Installer auf "c.acks" und "s.rialls" Seiten finden.
 
Hallo Ralf,

Java rennt bei mir auch. Heißt das, der Besuch einer Website genügt um den Rechner zu infizieren?

Und bei den Installern auf den C.acks und S.eriells Seiten. Was geht da vor sich? Ich kann da keinen Zusammenhang herstellen.

Viele Grüße von Martin.
 
Ja, der Besuch einer Seite,die einen Exploit( art Fehler) von einer Softwaer/Java/Browser u.a.) ausnutzt, reicht um sich zu infizieren. Das wird derzeit recht haeufig bei diesen Rechnungstrojanern gemacht, die keinen Anhang mehr besitzen, sondern nur einen Link zu einer Seite enthaelt. Wird diese BEsucht, sorgt die Ausnutzung des Exploits dafuer, das ein Programm heruntergeladen und gestartet wird.

Bei den c.ack usw Seiten ist auch der Cack an sich der Trojaner und wird ja von den Usern, die ja extra diese Datei heruntergeladen haben ausgefuehrt, da sie ja hoffen, durch das Programm einen Vorteil zu bekommen: http://de.wikipedia.org/wiki/Social_Engineering
 
You must log in or register to reply here.
Back
Top