Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Vundo.Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.04.2008, 13:02   #1
Joy
 
TR/Vundo.Gen - Standard

TR/Vundo.Gen



Hallo

ich weiß hier gerad nicht weiter und hoffe, wer von euch kann mir helfen.

Vorhin kam eine Meldung von AntiVir:

"In der Datei 'C:\WINDOWS\system32\xxywUOHX.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [TR/Vundo.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern"

Hab versucht, einen Onlinescanner (housecall oder so ähnlich) drüberlaufen zu lassen, aber geht leider nicht Danach nochmal AntiVir das komplette System durchsuchen lassen, aber keine Funde.

Hab versucht, den Taskmanager zu öffnen, um zu schauen, ob da irgendwas läuft, was nicht laufen sollte, aber der läßt sich auf einmal nicht mehr öffnen.

Und jetzt bin ich etwas ratlos, was ich machen soll

BS ist WinXP.

Liebe Grüße
Joy

Alt 03.04.2008, 13:16   #2
virus
Gast
 
TR/Vundo.Gen - Standard

TR/Vundo.Gen



Hi Joy und Herzlich Willkommen

Bitte poste erstmal ein HijackThis Logfile (Link findest du in meiner Signatur)
__________________


Alt 03.04.2008, 14:23   #3
Joy
 
TR/Vundo.Gen - Standard

TR/Vundo.Gen



danke dir

und hier das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:21:32, on 03.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Mixer.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [IncrediMail] D:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201803701606
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4302 bytes
__________________

Alt 03.04.2008, 14:29   #4
Sunny
Administrator
> Competence Manager
 

TR/Vundo.Gen - Standard

TR/Vundo.Gen



Hallo Joy und




Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "fixvundo" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren



Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 03.04.2008, 14:33   #5
Joy
 
TR/Vundo.Gen - Standard

TR/Vundo.Gen



Hallo Sunny auch dir danke!

oki, arbeite ich mal ab und melde mich dann wieder ^^

LG Joy

edit... das mit dem Link von Vundfix klappt nicht ich versuchs später nochmal, Hundi muß erst mal raus ^^


Alt 03.04.2008, 17:09   #6
Joy
 
TR/Vundo.Gen - Standard

TR/Vundo.Gen



sooo hat etwas gedauert aber nu ist fertig

Vundofix hatte drei Einträge unter System32 gefunden.

Und hier der Scanbericht von mbam:

Malwarebytes' Anti-Malware 1.10
Datenbank Version: 586

Scan Art: Komplett Scan (A:\|C:\|D:\|)
Objekte gescannt: 50328
Scan Dauer: 13 minute(s), 38 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
c:\WINDOWS\system32\pmnlkHYO.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\fccaWOEV.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{826a5ed9-1316-4efd-87f8-aa400c5d551a} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{826a5ed9-1316-4efd-87f8-aa400c5d551a} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmnlkhyo (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{63b3ebfa-6379-41d2-8cbe-2a5d238fe66b} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{63b3ebfa-6379-41d2-8cbe-2a5d238fe66b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin (Trojan.Fakealert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{826a5ed9-1316-4efd-87f8-aa400c5d551a} (Trojan.Vundo) -> Delete on reboot.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\fccawoev -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\pmnlkHYO.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\fccaWOEV.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\VEOWaccf.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\VEOWaccf.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\dwltqnmx.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\fkdnrwsv.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\sxfnewqb.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.


Ist jetzt wieder alles ok?

LG Joy

P.S. der Taskmanager läßt sich immer noch nicht öffnen Kommt Meldung: "Der Task-Manager wurde durch den Administrator deaktiviert" hm... wie aktivier ich das wieder?? ^^

Alt 03.04.2008, 17:18   #7
Sunny
Administrator
> Competence Manager
 

TR/Vundo.Gen - Standard

TR/Vundo.Gen



Um den Tasmanager kümmern wir uns gleich noch.
Wenn du auf Start -> Ausführen -> "eintippen" -> regedit [ENTER]
Was passiert?



desweiteren:





CCleaner


Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.
  • Gehe auf den Button links oben "Cleaner"
  • Setze Häkchen unter Reiter "Windows"
(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").
  • Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".
  • Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".



ComboFix
  • Lade dir das Tool hier herunter -> KLICK
  • Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 03.04.2008, 17:24   #8
Joy
 
TR/Vundo.Gen - Standard

TR/Vundo.Gen



hi

dann erscheint der Registrierungs-Editor.



hui noch mehr Progs...oki ^^ arbeite ich die auch mal durch und melde mich dann wieder

LG Joy

Alt 03.04.2008, 17:31   #9
Sunny
Administrator
> Competence Manager
 

TR/Vundo.Gen - Standard

TR/Vundo.Gen



Zitat:
Zitat von Joy Beitrag anzeigen
hi

dann erscheint der Registrierungs-Editor.
Sehr gut, dann aktivieren wir nachher auch wieder den Taskmanager, aber eins nach dem anderen..
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 03.04.2008, 17:52   #10
Joy
 
TR/Vundo.Gen - Standard

TR/Vundo.Gen



ok *gg*

soo hab beide Progs durchlaufen lassen

hm... das Log vom Combofix hat aber viiiiel Text...alles hier reinkopieren?

LG Joy

Alt 03.04.2008, 17:54   #11
Sunny
Administrator
> Competence Manager
 

TR/Vundo.Gen - Reden

TR/Vundo.Gen



Zitat:
Zitat von Joy Beitrag anzeigen

hm... das Log vom Combofix hat aber viiiiel Text...alles hier reinkopieren?
Ich bitte darum ..
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 03.04.2008, 17:59   #12
Joy
 
TR/Vundo.Gen - Standard

TR/Vundo.Gen



*gg* oki hier isses:

ComboFix 08-04-03.2 - xxxxx 2008-04-03 18:41:08.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\xxxxx\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-03 bis 2008-04-03 ))))))))))))))))))))))))))))))
.

2008-04-03 18:28 . 2008-04-03 18:28 <DIR> d-------- C:\Programme\CCleaner
2008-04-03 17:33 . 2008-04-03 17:34 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-03 17:33 . 2008-04-03 17:33 <DIR> d-------- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Malwarebytes
2008-04-03 17:33 . 2008-04-03 17:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-03 15:20 . 2008-04-03 15:20 <DIR> d-------- C:\Programme\Trend Micro
2008-04-03 11:16 . 2008-04-03 11:15 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-04-03 11:14 . 2008-04-03 11:14 <DIR> d-------- C:\WINDOWS\Sun
2008-04-03 11:14 . 2008-04-03 11:29 <DIR> d-------- C:\Dokumente und Einstellungen\xxxxx\.housecall6.6
2008-04-03 11:14 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-03 11:13 . 2008-04-03 11:14 <DIR> d-------- C:\Programme\Java
2008-04-03 11:12 . 2008-04-03 11:12 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-03-15 16:18 . 2008-03-15 16:18 110,304 --a------ C:\WINDOWS\system32\drivers\ACEDRV09.sys
2008-03-15 16:17 . 2008-03-15 16:17 32 --a------ C:\WINDOWS\autostart.INI
2008-03-13 00:21 . 2008-03-15 11:55 <DIR> d-------- C:\Programme\Google
2008-03-06 20:21 . 2008-03-06 20:21 <DIR> d-------- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\DivX

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-03 16:45 10,162,208 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-03 16:43 121,136 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-03 16:03 337,408 ----a-w C:\WINDOWS\Internet Logs\xDB37.tmp
2008-04-03 15:27 1,377,792 ----a-w C:\WINDOWS\Internet Logs\xDB36.tmp
2008-04-03 06:41 --------- d-----w C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\SlimBrowser
2008-04-01 21:40 857,600 ----a-w C:\WINDOWS\Internet Logs\xDB35.tmp
2008-03-30 20:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-30 20:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
2008-03-28 10:07 706,560 ----a-w C:\WINDOWS\Internet Logs\xDB34.tmp
2008-03-23 22:12 190,464 ----a-w C:\WINDOWS\Internet Logs\xDB33.tmp
2008-03-22 22:32 187,392 ----a-w C:\WINDOWS\Internet Logs\xDB31.tmp
2008-03-22 22:32 1,321,472 ----a-w C:\WINDOWS\Internet Logs\xDB32.tmp
2008-03-21 21:05 329,728 ----a-w C:\WINDOWS\Internet Logs\xDB2F.tmp
2008-03-21 21:05 1,317,376 ----a-w C:\WINDOWS\Internet Logs\xDB30.tmp
2008-03-20 10:02 1,313,280 ----a-w C:\WINDOWS\Internet Logs\xDB2E.tmp
2008-03-19 16:00 180,224 ----a-w C:\WINDOWS\Internet Logs\xDB2C.tmp
2008-03-19 16:00 1,313,280 ----a-w C:\WINDOWS\Internet Logs\xDB2D.tmp
2008-03-18 13:18 215,552 ----a-w C:\WINDOWS\Internet Logs\xDB2A.tmp
2008-03-18 13:18 1,308,672 ----a-w C:\WINDOWS\Internet Logs\xDB2B.tmp
2008-03-16 23:08 134,656 ----a-w C:\WINDOWS\Internet Logs\xDB28.tmp
2008-03-16 23:08 1,302,016 ----a-w C:\WINDOWS\Internet Logs\xDB29.tmp
2008-03-16 09:36 1,299,456 ----a-w C:\WINDOWS\Internet Logs\xDB27.tmp
2008-03-15 22:23 349,696 ----a-w C:\WINDOWS\Internet Logs\xDB25.tmp
2008-03-15 22:23 1,300,992 ----a-w C:\WINDOWS\Internet Logs\xDB26.tmp
2008-03-15 10:13 1,363,456 ----a-w C:\WINDOWS\Internet Logs\xDB23.tmp
2008-03-15 10:12 1,363,456 ----a-w C:\WINDOWS\Internet Logs\xDB24.tmp
2008-03-14 09:23 1,360,384 ----a-w C:\WINDOWS\Internet Logs\xDB22.tmp
2008-03-13 21:05 321,024 ----a-w C:\WINDOWS\Internet Logs\xDB21.tmp
2008-03-13 11:10 1,358,848 ----a-w C:\WINDOWS\Internet Logs\xDB20.tmp
2008-03-12 22:25 1,357,824 ----a-w C:\WINDOWS\Internet Logs\xDB1F.tmp
2008-03-12 21:52 1,354,240 ----a-w C:\WINDOWS\Internet Logs\xDB1E.tmp
2008-03-12 13:59 249,856 ----a-w C:\WINDOWS\Internet Logs\xDB1D.tmp
2008-03-10 20:28 355,840 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp
2008-03-08 22:40 1,102,336 ----a-w C:\WINDOWS\Internet Logs\xDB1B.tmp
2008-03-04 09:00 395,264 ----a-w C:\WINDOWS\Internet Logs\xDB19.tmp
2008-03-04 09:00 1,313,792 ----a-w C:\WINDOWS\Internet Logs\xDB1A.tmp
2008-03-01 21:38 153,088 ----a-w C:\WINDOWS\Internet Logs\xDB17.tmp
2008-03-01 21:38 1,293,824 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp
2008-03-01 13:11 1,291,264 ----a-w C:\WINDOWS\Internet Logs\xDB16.tmp
2008-02-29 21:10 216,576 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2008-02-29 21:10 1,294,336 ----a-w C:\WINDOWS\Internet Logs\xDB15.tmp
2008-02-28 21:45 312,320 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2008-02-28 21:45 1,288,704 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2008-02-27 10:24 56,832 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2008-02-27 10:24 1,454,080 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2008-02-26 22:01 1,453,568 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2008-02-23 15:06 23,552 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2008-02-22 22:27 135,680 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2008-02-22 22:27 1,443,840 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2008-02-21 02:05 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-02-21 02:05 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-02-21 02:05 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-02-20 15:09 1,440,256 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-02-19 21:40 --------- d-----w C:\Programme\Gemeinsame Dateien\MGI Shared
2008-02-17 09:56 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-02-17 09:56 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_motmodem_01005.Wdf
2008-02-17 09:53 --------- d-----w C:\Programme\LiveUpdate
2008-02-17 09:53 --------- d-----w C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\InstallShield
2008-02-16 20:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Motorola Shared
2008-02-16 20:00 92,064 ----a-w C:\Dokumente und Einstellungen\xxxxx\mqdmmdm.sys
2008-02-16 20:00 9,232 ----a-w C:\Dokumente und Einstellungen\xxxxx\mqdmmdfl.sys
2008-02-16 20:00 79,328 ----a-w C:\Dokumente und Einstellungen\xxxxx\mqdmserd.sys
2008-02-16 20:00 66,656 ----a-w C:\Dokumente und Einstellungen\xxxxx\mqdmbus.sys
2008-02-16 20:00 6,208 ----a-w C:\Dokumente und Einstellungen\xxxxx\mqdmcmnt.sys
2008-02-16 20:00 5,936 ----a-w C:\Dokumente und Einstellungen\xxxxx\mqdmwhnt.sys
2008-02-16 20:00 4,048 ----a-w C:\Dokumente und Einstellungen\xxxxx\mqdmcr.sys
2008-02-16 20:00 25,600 ----a-w C:\Dokumente und Einstellungen\xxxxx\usbsermptxp.sys
2008-02-16 20:00 22,768 ----a-w C:\Dokumente und Einstellungen\xxxxx\usbsermpt.sys
2008-02-15 22:47 305,664 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-02-15 22:47 1,409,536 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-02-14 08:17 1,406,464 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-02-10 20:35 225,280 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-02-10 15:29 24,192 ----a-w C:\WINDOWS\system32\drivers\usbsermptxp.sys
2008-02-10 14:51 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-10 10:56 --------- d-----w C:\Programme\MGI
2008-02-03 21:21 99,840 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-02-03 21:21 1,357,824 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-02-03 10:06 1,353,728 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-02-02 21:30 1,352,192 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-02-01 19:10 269,824 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-02-01 19:10 1,344,512 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F3053117-DF56-4767-8212-B3C893ED1F57}]
C:\WINDOWS\system32\ssqQkIaX.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"NvMediaCenter"="C:\WINDOWS\system32\NVMCTRAY.DLL" [2003-07-28 15:19 49152]
"IncrediMail"="D:\Programme\IncrediMail\bin\IncMail.exe" [2008-01-23 13:43 214456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-07-28 15:19 4841472]
"nwiz"="nwiz.exe" [2003-07-28 15:19 323584 C:\WINDOWS\system32\nwiz.exe]
"C-Media Mixer"="Mixer.exe" [2002-10-15 19:00 1818624 C:\WINDOWS\mixer.exe]
"ZoneAlarm Client"="D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-01 19:01 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"D:\\Programme\\IncrediMail\\bin\\ImApp.exe"=

R2 ACEDRV09;ACEDRV09;C:\WINDOWS\system32\drivers\ACEDRV09.sys [2008-03-15 16:18]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2006-02-28 14:00]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-01 19:32]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 16:42:08 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- D:\Programme\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-03 18:45:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\PROGRA~1\INCRED~1\bin\ImApp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-03 18:48:40 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-03 16:48:31
5 Verzeichnis(se), 3,040,194,560 Bytes frei
7 Verzeichnis(se), 3,562,319,872 Bytes frei

Alt 03.04.2008, 18:06   #13
Sunny
Administrator
> Competence Manager
 

TR/Vundo.Gen - Standard

TR/Vundo.Gen




Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
  • (lass auch die versteckten Dateien anzeigen!)

Zitat:
C:\WINDOWS\system32\ssqQkIaX.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 03.04.2008, 18:19   #14
Joy
 
TR/Vundo.Gen - Standard

TR/Vundo.Gen



hm...die Datei gibbet da nicht


P.S. aber der Taskmanager funktioniert wieder *freu*

Geändert von Joy (03.04.2008 um 18:26 Uhr)

Alt 03.04.2008, 18:25   #15
Sunny
Administrator
> Competence Manager
 

TR/Vundo.Gen - Standard

TR/Vundo.Gen



Zitat:
Zitat von Joy Beitrag anzeigen
hm...die Datei gibbet da nicht
Das ist kein gutes Zeichen, hast du auch wirklich alle Dateien sichtbar gemacht? Nicht nur die versteckten Dateien sondern auch die Systemdateien?
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu TR/Vundo.Gen
aktion, antivir, auf einmal, c:\windows, datei, durchsuchen, escan, gefunde, hoffe, komplette, meldung, nicht mehr, onlinescan, programm, ratlos, system, system32, taskmanager, tr/vundo.gen, unerwünschtes programm, versucht, verweigern, virus, windows, zugriff, öffnen




Ähnliche Themen: TR/Vundo.Gen


  1. Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (28)
  2. TR/Vundo.Gen ... o.O
    Log-Analyse und Auswertung - 20.03.2009 (1)
  3. TR/Vundo.Gen; TR/Vundo.fnr.6 entfernen ?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2009 (9)
  4. Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18
    Log-Analyse und Auswertung - 22.12.2008 (13)
  5. TR/Vundo.fnr.6; TR/Vundo.Gen; TR/Crypt/Morphine.Gen....
    Mülltonne - 27.10.2008 (0)
  6. tr/vundo.gen
    Log-Analyse und Auswertung - 03.07.2008 (9)
  7. TR\Vundo.Gen
    Mülltonne - 26.06.2008 (0)
  8. Vundo
    Mülltonne - 25.06.2008 (1)
  9. TR/Vundo.Gen
    Mülltonne - 25.06.2008 (0)
  10. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  11. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  12. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)
  13. TR/Vundo.gj
    Log-Analyse und Auswertung - 06.05.2008 (27)
  14. TR/Vundo.gen
    Log-Analyse und Auswertung - 05.05.2008 (14)
  15. TR/Vundo.gen TR/vundo.AC Bitte um Hilfe
    Log-Analyse und Auswertung - 22.03.2008 (10)
  16. TR/Vundo.Gen und TR/Vundo.dvc1 bekämpfen
    Log-Analyse und Auswertung - 09.01.2008 (18)
  17. Wie kann ich TR/Vundo.AH und TR/Vundo.Gen entfernen?
    Log-Analyse und Auswertung - 24.03.2007 (6)

Zum Thema TR/Vundo.Gen - Hallo ich weiß hier gerad nicht weiter und hoffe, wer von euch kann mir helfen. Vorhin kam eine Meldung von AntiVir: "In der Datei 'C:\WINDOWS\system32\xxywUOHX.dll' wurde ein Virus oder unerwünschtes - TR/Vundo.Gen...
Archiv
Du betrachtest: TR/Vundo.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.