Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Vundo.Gen und Dropper

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.12.2007, 18:46   #1
Miro-Na
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



Hallo ihr Lieben,

ich sitze relativ verzweifelt vor meinem Laptop, der seit einigen Tagen wohl durch einen Virus infiziert ist. Nennt sich TR/Vundo.Gen, also so meldet es AntiVir. Seit heute habe ich auch noch irgend einen Dropper( DR.Virtumundo.BLA)...

Ich habe hier schon einige Foren durchgelesen, aber leider verstehe ich oft die Abläufe nicht, und ich bin auf diesen Laptop angewiesen und will nix falsch machen!

Kann mir bitte jemand helfen?

Danke

Alt 16.12.2007, 18:53   #2
11Boy11
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



Hallo,

bitte ein HijackThis Log posten.
__________________

__________________

Alt 16.12.2007, 19:03   #3
Miro-Na
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



Ok, also falls ich das richtig gemacht habe, dann sollte folgendes als Info nützen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:10, on 16.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\NuvaTime\NuvaTime.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: (no name) - {D64DF1A8-2301-4B02-8197-FB406A320FDC} - C:\WINDOWS\system32\gebabya.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: NuvaTime.lnk = C:\Programme\NuvaTime\NuvaTime.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: gebabya - C:\WINDOWS\SYSTEM32\gebabya.dll
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE

--
End of file - 9872 bytes
__________________

Alt 16.12.2007, 19:08   #4
11Boy11
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



Hm..

also aus deinem HijackThis log ist nichts schlimmes zu entnehmen.

Mache folgendes:

-> Versteckte dateien sichtbar machen


Combofix

1) - Lade dir Combofix herunter

2) combofix.exe starten und bestätige die Abfrage mit 1 und drücke Enter

Achtung:

Combofix nimmt ein wenig Zeit in anspruch!
Bitte nichts während des Scans am Pc machen

Es kann auch sein, dass dein Computer zwischendurch mal herunterfährt!
__________________
Gruß 11Boy

Alt 16.12.2007, 19:14   #5
Miro-Na
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



Ok, die versteckten Dateien hab ich sichtbar gemacht, soll ich HijackThis nochmal machen, oder gleich Combo...???


Alt 16.12.2007, 19:16   #6
11Boy11
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



Nur Combofix.

(Nach dem Combofix fertig ist, bitte Log von Combofix posten!)
__________________
--> TR/Vundo.Gen und Dropper

Alt 16.12.2007, 19:31   #7
Miro-Na
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



Ok, hier nun der Log...

ComboFix 07-12-16.3 - Anna 2007-12-16 19:20:03.1 - NTFSx86
ausgeführt von:: F:\PrivatePROGRAMMS\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-16 bis 2007-12-16 ))))))))))))))))))))))))))))))
.

2007-12-16 19:01 . 2007-12-16 19:01 <DIR> d-------- C:\Programme\Trend Micro
2007-12-11 22:12 . 2007-12-11 22:28 <DIR> d-------- C:\Dokumente und Einstellungen\Anna\Anwendungsdaten\Ahead
2007-12-11 22:03 . 2007-12-11 22:03 <DIR> d-------- C:\Programme\Nero
2007-12-11 22:03 . 2007-12-11 22:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-12-11 22:03 . 2007-12-11 22:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-12-10 18:04 . 2007-12-10 18:04 38,912 --a------ C:\WINDOWS\system32\gebabya.dll
2007-12-02 01:04 . 2007-12-02 01:04 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-02 01:04 . 2007-12-02 01:04 1,409 --a------ C:\WINDOWS\QTFont.for
2007-11-27 16:04 . 2007-12-10 16:22 261 --a------ C:\WINDOWS\lexstat.ini
2007-11-27 16:01 . 2007-11-27 16:01 <DIR> d-------- C:\Lxk1100
2007-11-27 15:52 . 2007-11-27 16:03 <DIR> d-------- C:\Programme\Lexmark X1100 Series
2007-11-27 15:52 . 2007-11-27 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\Anna\WINDOWS
2007-11-27 15:52 . 2002-08-22 15:14 983,101 --a------ C:\WINDOWS\system32\LXBKGF.DLL
2007-11-27 15:52 . 2003-08-19 10:29 352,256 --a------ C:\WINDOWS\system32\LXBKUTIL.DLL
2007-11-27 15:52 . 1997-04-08 20:08 299,520 --a------ C:\WINDOWS\uninst.exe
2007-11-27 15:52 . 2001-08-18 04:54 87,040 --a------ C:\WINDOWS\system32\wiafbdrv.dll
2007-11-27 15:52 . 2001-08-18 04:54 87,040 --a------ C:\WINDOWS\system32\dllcache\wiafbdrv.dll
2007-11-27 15:52 . 2003-08-18 11:56 69,632 --a------ C:\WINDOWS\system32\lxbkscin.dll
2007-11-27 15:52 . 2003-08-18 11:56 57,344 --a------ C:\WINDOWS\system32\lxbkcinf.dll
2007-11-27 15:52 . 2003-08-18 11:56 49,152 --a------ C:\WINDOWS\system32\lxbkcoin.dll
2007-11-27 15:52 . 2002-09-13 11:40 266 --a------ C:\WINDOWS\system32\lxbkcoin.ini
2007-11-27 15:42 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-11-27 15:42 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-15 16:08 --------- d-----w C:\Programme\TVgenial
2007-12-12 21:33 --------- d-----w C:\Programme\AnnaTools
2007-12-09 23:19 --------- d-----w C:\Programme\Winamp
2007-11-26 21:53 --------- d-----w C:\Dokumente und Einstellungen\Anna\Anwendungsdaten\Skype
2007-11-05 09:33 --------- d-----w C:\Programme\Smart Projects
2006-12-04 21:42 6,624,984 ----a-w C:\Programme\winamp531_full_emusic-7plus.exe
2006-12-04 17:04 6,615,832 ----a-w C:\Programme\FirefoxGoogleToolbarSetup.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D64DF1A8-2301-4B02-8197-FB406A320FDC}]
2007-12-10 18:04 38912 --a------ C:\WINDOWS\system32\gebabya.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Dokument-Manager]
@={666C7833-A9B6-4AB4-94ED-DC238C81E925}

[HKEY_CLASSES_ROOT\CLSID\{666C7833-A9B6-4AB4-94ED-DC238C81E925}]
2005-06-16 18:41 307712 --a------ C:\Programme\HPQ\IAM\Bin\SFSShell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:00]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"OM_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe" [2006-05-16 17:51]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 10:11]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-05-06 14:06]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 10:12]
"PTHOSTTR"="C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.exe" [2006-02-14 10:56]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-31 04:20]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-31 17:01]
"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-03-28 13:13]
"CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 19:12]
"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-23 10:38]
"Cpqset"="C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe" [2006-04-21 08:30]
"Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2005-12-20 15:51]
"Reminder"="C:\WINDOWS\Creator\Remind_XP.exe" [2006-03-09 16:38]
"Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-02-15 16:43]
"WatchDog"="C:\Programme\InterVideo\DVD Check\DVDCheck.exe" [2006-03-31 13:58]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 09:00 C:\WINDOWS\system32\bthprops.cpl]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-17 21:11]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 18:46]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-03-17 18:54]
"OM_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2006-05-16 17:50]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 10:43]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-10-10 06:28]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-08-06 19:03]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 09:00]
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2007-05-30 02:34]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{D64DF1A8-2301-4B02-8197-FB406A320FDC}"= C:\WINDOWS\system32\gebabya.dll [2007-12-10 18:04 38912]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebabya]
gebabya.dll 2007-12-10 18:04 38912 C:\WINDOWS\system32\gebabya.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
IfxWlxEN.dll 2006-03-03 16:08 434176 C:\WINDOWS\system32\IfxWlxEN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll 2005-07-25 19:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll

R1 PersonalSecureDrive;PersonalSecureDrive;C:\WINDOWS\system32\drivers\psd.sys
R2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe -k Cognizance
R3 AEAudioService;AEAudio Service;C:\WINDOWS\system32\drivers\AEAudio.sys
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS
S3 sscdbus;SAMSUNG USB Composite Device driver (WDM);C:\WINDOWS\system32\DRIVERS\sscdbus.sys
S3 sscdmdfl;SAMSUNG CDMA Modem Filter;C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys
S3 sscdmdm;SAMSUNG CDMA Modem Drivers;C:\WINDOWS\system32\DRIVERS\sscdmdm.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASChannel

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-16 19:27:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-16 19:28:54 - machine was rebooted

Alt 16.12.2007, 20:15   #8
Miro-Na
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



Und? Wie schauts aus...?

Alt 16.12.2007, 20:23   #9
11Boy11
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



Zitat:
E:\Autorun.inf
hat Combofix gelöscht.

Ansonsten wurden

Zitat:
versteckte Dateien: 0
gefunden.

Wie sieht es denn bei Dir aus?
Virus noch da?
__________________
Gruß 11Boy

Alt 16.12.2007, 20:27   #10
Miro-Na
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



Also der TR/Vundo scheint nicht mehr da zu sein, aber AntiVir meldet immernoch den Dropper... brauche ich für den nen anderes Programm?

Alt 16.12.2007, 20:28   #11
11Boy11
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



Poste bitte den Pfad, den AntiVir anzeigt, wo sich der Virus befindet.
__________________
Gruß 11Boy

Alt 16.12.2007, 20:32   #12
Miro-Na
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



Der DR/Virtumonde.BLA befindet sich unter:

c:\WINDOWS\system32\gebabya.dll



Und danke übrigens für die geduldige Hilfe...

Alt 16.12.2007, 20:34   #13
11Boy11
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



So geht 's weiter:

1) Lade dir den Avenger runter (Siehe Signatur)
2) "Input script manually" anhacken
3) Auf die Lupe klicken
4) kopiere anschließend in "View/edit script" :


Zitat:
Files to delete:
C:\WINDOWS\system32\gebabya.dll
5) Done klicken
6) die gruene Ampel anklicken

das Script wird nun ausgeführt. dann wird der PC automatisch neustarten!
__________________
Gruß 11Boy

Alt 16.12.2007, 20:47   #14
Miro-Na
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



AntiVir hat sich bisher nur 1x nach dem Neustart gemeledet und da war der Dropper in dem Avenger. Ich denke mal das sollte auch so?

Ok, also hier der Log...

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iehrgvrv

*******************

Script file located at: \??\C:\Program Files\utjrslfk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\gebabya.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 16.12.2007, 20:49   #15
11Boy11
 
TR/Vundo.Gen und Dropper - Standard

TR/Vundo.Gen und Dropper



Zitat:
File C:\WINDOWS\system32\gebabya.dll deleted successfully (-> Erfolgreich)

Virus müsste weg sein, oder?
__________________
Gruß 11Boy

Antwort

Themen zu TR/Vundo.Gen und Dropper
dropper, falsch, foren, helfen, heute, infiziert, irgend, laptop, liebe, lieben, melde, meldet, nennt, relativ, sitze, tagen, tr/vundo.gen, verzweifel, verzweifelt, virus



Ähnliche Themen: TR/Vundo.Gen und Dropper


  1. (mehrere) Trojanermeldung(en) AVG (Win8.1) : "Trojaner: Dropper.Generic2.ANGG.dropper"
    Log-Analyse und Auswertung - 11.07.2014 (3)
  2. Trojaner TR/ Dropper.Gen u. Trojaner TR/ Dropper.Gen2 entfernt, dennoch überlastung
    Plagegeister aller Art und deren Bekämpfung - 14.05.2010 (9)
  3. Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (28)
  4. Trojaner TR/Dropper.Gen , TR/Vundo Gen , TR/Agent.12800.V
    Plagegeister aller Art und deren Bekämpfung - 24.11.2009 (5)
  5. TR/Vundo.Gen; TR/Vundo.fnr.6 entfernen ?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2009 (9)
  6. Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18
    Log-Analyse und Auswertung - 22.12.2008 (13)
  7. dropper.gen/hijacker.gen/vundo.gen
    Mülltonne - 20.12.2008 (0)
  8. TR/Vundo.fnr.6; TR/Vundo.Gen; TR/Crypt/Morphine.Gen....
    Mülltonne - 27.10.2008 (0)
  9. Vundo, Dropper und andere Trojaner.
    Log-Analyse und Auswertung - 03.07.2008 (1)
  10. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  11. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  12. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)
  13. TR/Vundo.gen
    Log-Analyse und Auswertung - 25.04.2008 (13)
  14. TR/Vundo.gen TR/vundo.AC Bitte um Hilfe
    Log-Analyse und Auswertung - 22.03.2008 (10)
  15. TR/Vundo.Gen und TR/Vundo.dvc1 bekämpfen
    Log-Analyse und Auswertung - 09.01.2008 (18)
  16. Wie kann ich TR/Vundo.AH und TR/Vundo.Gen entfernen?
    Log-Analyse und Auswertung - 24.03.2007 (6)
  17. TR/Vundo.Gen + TR/BHO.G.3
    Log-Analyse und Auswertung - 09.12.2006 (3)

Zum Thema TR/Vundo.Gen und Dropper - Hallo ihr Lieben, ich sitze relativ verzweifelt vor meinem Laptop, der seit einigen Tagen wohl durch einen Virus infiziert ist. Nennt sich TR/Vundo.Gen, also so meldet es AntiVir. Seit heute - TR/Vundo.Gen und Dropper...
Archiv
Du betrachtest: TR/Vundo.Gen und Dropper auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.