Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HiJack Log bei Vundo.Gen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 14.09.2006, 12:01   #1
husky07
 
HiJack Log bei Vundo.Gen - Standard

HiJack Log bei Vundo.Gen



Hi @ all,

mich hats auch erwischt. Vundo.Gen, teilweise konnte ich die befallenen Dateien löschen, befürchte aber das im LogFile eine Umleitung drin ist. Bitte kontrollieren.

Die befallenen Dateien stehen im Logfile unter O20, die Umleitung die ich befürchte in O 17. Die gebxwur.dll konnte ich im abgesichten Modus löschen, ddabb.dll nicht. Darüber hinaus wird bei jedem Booten eine bbadd.ini erstellt. Die kann ich löschen, kommt aber immer wieder neu. darüber hinaus existierte eine mguard.exe. Solange die aktiv war wurde der Zugriff auf Virenscanner sowohl auf der Platte als auch im Internet immer abgebrochen.
gebxwur.dll war ein Auto Dialer, der im Hintergrund eine Verbindung ins Internet hergestellt hat, über die dann weitere Malware downgeloaded wurde.

In O2 wird die ddabb.dll und die gebxwur.dll initialisiert.

Musste die Hijack.exe umbenennen, da Ausführung mit Fehlermeldung abgebrochen wurde. Heißt jetzt newprogramm.com.

Habe den Rechner physisch vom Netz getrennt ( Stecker raus) und arbeite im Moment von anderen Rechnern.

Vielen Dank schon einmal im voraus

Husky07

Hier der Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 08:24:14, on 14.09.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\4D Browser Mouse\Scw64.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Programme\HiJackThis\newprogramm.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: Shell=Explorer.exe mguard.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,mguard.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {179F98BE-5563-4B8F-88DB-8862669B04B3} - C:\WINNT\system32\ddabb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5E05CFC1-00D5-4E73-A5F5-ADA952F03CF6} - C:\WINNT\system32\gebxwur.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [4-D-Maus] C:\Programme\4D Browser Mouse\Scw64.exe
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKCU\..\RunServices: [Windows Kernel System Service] wkssvr.exe
O4 - Global Startup: Exif Launcher.lnk.disabled
O4 - Global Startup: HPAiODevice.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: Photo Loader resident.lnk.disabled
O4 - Global Startup: WinZip Quick Pick.lnk.disabled
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f008.mail.lycos.de/app/uploader/FileUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04BE7F77-6282-406B-8AD1-9F213DE6F8EA}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4C0714B-DCC7-413D-B9BC-305D6633A9DF}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{04BE7F77-6282-406B-8AD1-9F213DE6F8EA}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{04BE7F77-6282-406B-8AD1-9F213DE6F8EA}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: ddabb - C:\WINNT\system32\ddabb.dll
O20 - Winlogon Notify: gebxwur - gebxwur.dll (file missing)
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe (file missing)
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINNT\system32\wgareg.exe (file missing)
O23 - Service: Windows UPnP Service (wupnp) - Unknown owner - C:\WINNT\system32\wupnp.exe (file missing)

Alt 14.09.2006, 13:00   #2
stupormundi
 
HiJack Log bei Vundo.Gen - Standard

HiJack Log bei Vundo.Gen



Servus!

Bei Dir sind min. zwei sog. Backdoortrojaner am werken (der hier und der hier).

Da hilft nur mehr Cidres Generallösung - alles andere ist Mumpitz!
Lies bei Cidre nach: er hat dort ausgiebig verlinkt/erklärt, warum das die einzige Lösung ist!

stupormundi
__________________

__________________

Alt 14.09.2006, 13:29   #3
husky07
 
HiJack Log bei Vundo.Gen - Standard

HiJack Log bei Vundo.Gen



Danke für die Info,

sowas hatte ich schon befürchtet,

eine gute Zeit noch

husky07
__________________

Antwort

Themen zu HiJack Log bei Vundo.Gen
adobe, antivir, askbar, avira, bho, booten, browser, drivers, explorer, fehlermeldung, hijack, hijackthis, hintergrund, home, immer wieder, internet, internet explorer, locker, log, logfile, löschen, malware, microsoft, programme, scan, software, system, userinit.exe, vundo.gen, windows



Ähnliche Themen: HiJack Log bei Vundo.Gen


  1. Hijack.ControlPanelStyle / PUM.Hijack.DisplayProperties
    Plagegeister aller Art und deren Bekämpfung - 19.09.2012 (3)
  2. Verschlüsselungstrojaner Trojan.FakeVLC, PUM.Hijack.Task, Hijack.Regedit, Trojan.Agent
    Log-Analyse und Auswertung - 24.06.2012 (1)
  3. pum.bad.proxy-hijack.shell-pum.hijack.dis....
    Plagegeister aller Art und deren Bekämpfung - 19.01.2012 (1)
  4. Viren Hijack.Regedit und Hijack.TaskManager: Wie beheben?
    Log-Analyse und Auswertung - 14.11.2010 (5)
  5. IE und Antivir funktioniert nicht - Security.Hijack und Hijack.ControlPanelStyle
    Log-Analyse und Auswertung - 25.07.2009 (37)
  6. TR/Vundo.Gen; TR/Vundo.fnr.6 entfernen ?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2009 (9)
  7. Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18
    Log-Analyse und Auswertung - 22.12.2008 (13)
  8. TR/Vundo.fnr.6; TR/Vundo.Gen; TR/Crypt/Morphine.Gen....
    Mülltonne - 27.10.2008 (0)
  9. TR/Vundo.ewz.24 (AntiVir-Fund) + Hijack & Malwarebytes-Log
    Log-Analyse und Auswertung - 05.10.2008 (1)
  10. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  11. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  12. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)
  13. TR/Vundo.Gen Hijack this log - bitte helft mir
    Mülltonne - 28.04.2008 (0)
  14. TR/Vundo.gen TR/vundo.AC Bitte um Hilfe
    Log-Analyse und Auswertung - 22.03.2008 (10)
  15. TR/Vundo.Gen und TR/Vundo.dvc1 bekämpfen
    Log-Analyse und Auswertung - 09.01.2008 (18)
  16. Bitte Hijack-Log prüfen (Vundo und ConHook Trojaner)
    Log-Analyse und Auswertung - 10.10.2007 (7)
  17. Wie kann ich TR/Vundo.AH und TR/Vundo.Gen entfernen?
    Log-Analyse und Auswertung - 24.03.2007 (6)

Zum Thema HiJack Log bei Vundo.Gen - Hi @ all, mich hats auch erwischt. Vundo.Gen, teilweise konnte ich die befallenen Dateien löschen, befürchte aber das im LogFile eine Umleitung drin ist. Bitte kontrollieren. Die befallenen Dateien stehen - HiJack Log bei Vundo.Gen...
Archiv
Du betrachtest: HiJack Log bei Vundo.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.