Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: [B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.12.2007, 17:09   #1
pc_anfaenger_88
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



Hallo zusammen... hoffe dank eurer Hilfe die im Titel benannten Trojaner auf meinem PC eliminieren zu können!

Bekomme Sie mit dem AntiVir nicht weg! Was soll ich tun?

PS: kam bei den vorherigen Forum-Einträgen nicht nach!
Miniaturansicht angehängter Grafiken
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]-agent.jpg   [B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]-vundo.jpg  

Alt 09.12.2007, 17:20   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



Hallo.

Poste mal zur ersten Grobanalyse ein Hijackthis-Logfile. Nimm dazu diese umbenannte hijackthis.exe. Dann sehen wir weiter.
__________________

__________________

Alt 09.12.2007, 17:59   #3
pc_anfaenger_88
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:58:26, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\regsvr32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Roman\Desktop\abc123.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cultureconcept.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0CF46468-AC82-9EC5-5B79-008AA7762D88} - C:\Programme\Zhypblbu\kxplitaa.dll
O2 - BHO: (no name) - {4373E7D1-86C7-44B8-AC7D-FB575F057936} - C:\WINDOWS\system32\awvtr.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {ABB68206-5154-47D3-ABC5-611C1658ABA0} - C:\WINDOWS\system32\iifcyvs.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\moffice.exe
O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe
O4 - HKLM\..\Run: [klydargv] rundll32.exe "C:\Programme\klydargv\gfknwpat.dll",Init
O4 - HKLM\..\Run: [zgnexkzi] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zgnexkzi.dll"
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [SC2] C:\Programme\SecCenter\scprot4.exe
O4 - HKLM\..\Run: [natspaha] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\natspaha.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Siemens Dial-Up PPP Connection.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - D:\Roman\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://kingkuemin.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131466176937
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.ch/NET/Import/ImageUploader3.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: iifcyvs - C:\WINDOWS\SYSTEM32\iifcyvs.dll
O20 - Winlogon Notify: winjrs32 - C:\WINDOWS\SYSTEM32\winjrs32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9339 bytes
__________________

Alt 09.12.2007, 18:30   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



Oje, da hast du dir aber eine Menge Schädlinge eingefangen..

Code:
ATTFilter
O2 - BHO: (no name) - {0CF46468-AC82-9EC5-5B79-008AA7762D88} - C:\Programme\Zhypblbu\kxplitaa.dll
O2 - BHO: (no name) - {4373E7D1-86C7-44B8-AC7D-FB575F057936} - C:\WINDOWS\system32\awvtr.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {ABB68206-5154-47D3-ABC5-611C1658ABA0} - C:\WINDOWS\system32\iifcyvs.dll
O4 - HKLM\..\Run: [klydargv] rundll32.exe "C:\Programme\klydargv\gfknwpat.dll",Init
O4 - HKLM\..\Run: [zgnexkzi] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zgnexkzi.dll"
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [SC2] C:\Programme\SecCenter\scprot4.exe
O4 - HKLM\..\Run: [natspaha] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\natspaha.dll"
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - Winlogon Notify: iifcyvs - C:\WINDOWS\SYSTEM32\iifcyvs.dll
O20 - Winlogon Notify: winjrs32 - C:\WINDOWS\SYSTEM32\winjrs32.dll
         
Werte unten aufgelistete Dateien mal bei Virustotal aus und poste die Ergebnisse inkl. Angaben zu Dateigrößen und Prüfsummen:

Code:
ATTFilter
C:\WINDOWS\system32\iifcyvs.dll
C:\WINDOWS\SYSTEM32\winjrs32.dll
C:\WINDOWS\system32\spoolvs.exe
C:\WINDOWS\system32\printer.exe
C:\Programme\SecCenter\scprot4.exe
C:\Programme\klydargv\gfknwpat.dll
C:\Programme\Zhypblbu\kxplitaa.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zgnexkzi.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\natspaha.dll
         
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.12.2007, 20:50   #5
pc_anfaenger_88
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



kann nicht auf virustotal.com zugreifen, bin ev noch ein paar mit dem antivir losgeworden.
hier eine neue hijackthis-liste:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:47:34, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\Roman\Desktop\abc123(2).com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = cultureconcept cem
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0CF46468-AC82-9EC5-5B79-008AA7762D88} - C:\Programme\Zhypblbu\kxplitaa.dll
O2 - BHO: (no name) - {4373E7D1-86C7-44B8-AC7D-FB575F057936} - C:\WINDOWS\system32\awvtr.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {ABB68206-5154-47D3-ABC5-611C1658ABA0} - C:\WINDOWS\system32\iifcyvs.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\moffice.exe
O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe
O4 - HKLM\..\Run: [zgnexkzi] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zgnexkzi.dll"
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [SC2] C:\Programme\SecCenter\scprot4.exe
O4 - HKLM\..\Run: [natspaha] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\natspaha.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Siemens Dial-Up PPP Connection.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - D:\Roman\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://kingkuemin.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131466176937
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.ch/NET/Import/ImageUploader3.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: iifcyvs - C:\WINDOWS\SYSTEM32\iifcyvs.dll
O20 - Winlogon Notify: winjrs32 - winjrs32.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9502 bytes


Alt 09.12.2007, 21:04   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



Dann probiers mal so:

1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\iifcyvs.dll
C:\WINDOWS\SYSTEM32\winjrs32.dll
C:\WINDOWS\system32\spoolvs.exe
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\awvtr.dll
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zgnexkzi.dll"
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\natspaha.dll"

Folders to delete:
C:\Programme\klydargv
C:\Programme\Zhypblbu
C:\Programme\SecCenter
         
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Schau auch mal in den Ordner c:\avenger - da müsste eine Avenger.zip sein. Lad die mal bei file-upload.net hoch und verlink es hier, damit ich die Dateien mal auswerten kann. Schalte vorher den Virenscanner ab, weil er den Zugriff auf die avenger.zip verweigern könnte!

Sollte das nicht klappen, müsste die die avenger.zip mit einem Zip-Passwort versehen (WinZIP oder 7zip bräuchtest du dafür).
__________________
--> [B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]

Alt 09.12.2007, 21:41   #7
pc_anfaenger_88
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



kein avenger.txt da

File-Upload.net - Ihr kostenloser File Hoster!
hier das file

edit: das hier hab ich noch gefunden:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!

Geändert von pc_anfaenger_88 (09.12.2007 um 21:50 Uhr)

Alt 09.12.2007, 22:10   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



Oje, das wird schwierig...
Dein System scheint ganz schön was abbekommen zu haben. Ich glaub kaum, dass sich da noch was lohnt zu bereinigen, wenn wir nicht mal den Avenger zum Laufen zu bekommen. Kannst du regedit starten?
Klick aus Start, Ausführen, regedit eintippen, Ok - klappt das?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.12.2007, 16:28   #9
pc_anfaenger_88
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



sorry, war drei Tage weg...
regedit kann ich aufstarten!!!
gruss

Alt 14.12.2007, 17:54   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



Okay, das ist schonmal gut. Dann starte regedit und navigiere zu

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

und schau rechts nach, ob Enabled auch den Wert 1 hat - wenn nicht, diesen Wert zuweisen!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.12.2007, 11:17   #11
JCLogan
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



Ich habe das gleiche Problem mit TR/Vundo.Gen

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Alt 15.12.2007, 20:46   #12
pc_anfaenger_88
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



keine Datei mit dem Namen Enabled da!

Folgende Dateien (+ Wert) sind im Settings-Ordner

(Standard) (nicht gesetzt)
Active Debugging (1)
DisplayLogo (1)
SilentTerminate (0)
UseWINSAFER (1)

...

Alt 17.12.2007, 01:16   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



Okay, dann erstell dort eine neue Zeichenfolge mit dem Wert 1. Probier es dann mit dem Avenger erneut.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.12.2007, 16:06   #14
pc_anfaenger_88
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rwfevahb

*******************

Script file located at: \??\C:\WINDOWS\system32\uudjbpvw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\iifcyvs.dll deleted successfully.


File C:\WINDOWS\SYSTEM32\winjrs32.dll not found!
Deletion of file C:\WINDOWS\SYSTEM32\winjrs32.dll failed!

Could not process line:
C:\WINDOWS\SYSTEM32\winjrs32.dll
Status: 0xc0000034



File C:\WINDOWS\system32\spoolvs.exe not found!
Deletion of file C:\WINDOWS\system32\spoolvs.exe failed!

Could not process line:
C:\WINDOWS\system32\spoolvs.exe
Status: 0xc0000034



File C:\WINDOWS\system32\printer.exe not found!
Deletion of file C:\WINDOWS\system32\printer.exe failed!

Could not process line:
C:\WINDOWS\system32\printer.exe
Status: 0xc0000034



File C:\WINDOWS\system32\awvtr.dll not found!
Deletion of file C:\WINDOWS\system32\awvtr.dll failed!

Could not process line:
C:\WINDOWS\system32\awvtr.dll
Status: 0xc0000034



File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zgnexkzi.dll not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zgnexkzi.dll failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zgnexkzi.dll
Status: 0xc0000034



File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\natspaha.dll not found!
Deletion of file C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\natspaha.dll failed!

Could not process line:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\natspaha.dll
Status: 0xc0000034

Folder C:\Programme\klydargv deleted successfully.
Folder C:\Programme\Zhypblbu deleted successfully.
Folder C:\Programme\SecCenter deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

___________________________

Beim Aufstarten kommt zudem die Meldung, dass die Anwendungsdateien:

natspaha.dll
und
zgnexkzi.dll

( --> siehe oben in der Auswertung!)

nicht gefunden werden können.

Gruss

Alt 17.12.2007, 17:09   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Standard

[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]



Okay, dann mach mal bitte nun als nächstest einen Check mit Blacklight - hoffe, man sollte wenigstens dieses Programm nun bei dir ausführen können. Das Ergebnis hängt nämlich davon ab, ob eine weitere Bereinigung überhaupt noch Sinn macht. Poste das Logfile von Blacklight.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu [B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]
antivir, eliminieren, eurer, help, hoffe, titel, tr/vundo.gen, troja, trojaner



Ähnliche Themen: [B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]


  1. Trojaner TR/Dropper.Gen , TR/Vundo Gen , TR/Agent.12800.V
    Plagegeister aller Art und deren Bekämpfung - 24.11.2009 (5)
  2. TR\Agent.bknt / TR\Vundo.Gen
    Log-Analyse und Auswertung - 25.01.2009 (1)
  3. Multitrojanerbefall Vundo.Gen/Patched.DY.1/Agent.avjo/AutoTDSS.big
    Plagegeister aller Art und deren Bekämpfung - 22.01.2009 (4)
  4. Trojan.Vundo, rootkit.agent
    Plagegeister aller Art und deren Bekämpfung - 30.12.2008 (12)
  5. Avira sagt: TR/Vundo.OE; TR/Spy.Agent.fnt usw..
    Log-Analyse und Auswertung - 19.12.2008 (1)
  6. TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen
    Plagegeister aller Art und deren Bekämpfung - 25.08.2008 (4)
  7. Vundo, BHO, Agent
    Log-Analyse und Auswertung - 24.07.2008 (1)
  8. Vundo und Agent.DUJ befall!Bitte um Hilfe
    Log-Analyse und Auswertung - 03.07.2008 (0)
  9. Verdacht auf Trojaner Vundo und Agent.DUJ
    Mülltonne - 03.07.2008 (0)
  10. TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO....
    Plagegeister aller Art und deren Bekämpfung - 02.07.2008 (9)
  11. Erst TR/Drop.Agent.dgo.8 dann TR/Vundo.DWK
    Log-Analyse und Auswertung - 01.02.2008 (11)
  12. TR/Drop.Agent.dgo.8 und TR/Vundo Familie eingefangen
    Plagegeister aller Art und deren Bekämpfung - 29.01.2008 (1)
  13. TR/Vundo.gen und TR/Dldr.Agent.fiv
    Plagegeister aller Art und deren Bekämpfung - 01.12.2007 (6)
  14. Auch das Problem mit TR/Vundo.Gen, und TR/Agent.323168
    Mülltonne - 30.11.2007 (0)
  15. Vundo.gen und Agent.csy.1
    Plagegeister aller Art und deren Bekämpfung - 29.11.2007 (2)
  16. TR/Agent.37376 + TR/Vundo.Gen, Logs added
    Log-Analyse und Auswertung - 27.11.2007 (2)
  17. Ziemlich viele Funde in kurzer Zeit (Vundo.Gen/Agent.Age)
    Log-Analyse und Auswertung - 15.04.2007 (10)

Zum Thema [B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] - Hallo zusammen... hoffe dank eurer Hilfe die im Titel benannten Trojaner auf meinem PC eliminieren zu können! Bekomme Sie mit dem AntiVir nicht weg! Was soll ich tun? PS: kam - [B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]...
Archiv
Du betrachtest: [B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.