| |
| |||||||
Log-Analyse und Auswertung: TR/Vundo.F.2Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
09.01.2007, 17:41
| #1 |
 |  TR/Vundo.F.2 Hallo! Ich habe seit gestern ein Problem mit einem Trojaner. Angefangen hat es damit dass wenn ich den PC Sperre (WIN + L) und mich dann wieder anmedlen will mein Passwort nicht stimmt. Es funktioniert erst wieder wenn ich neu boote, dann darf ich den PC natürlich auch nicht mehr sperren. Dann hat AntiVir angefangen mir bei jedem Systemstart eine Warnung auszugeben. Beim ersten mal: HEUR/Malware Die male danach: TR/Vundo.F.2 C:\Windows\System32\xxyxvtq.dll Ich lösche die Datei jedes mal, doch sie is bei jedem neustart wieder da, allerding meistens mit anderem, aber ebenso komischen dateinamen. Ich hab mir im Internet schon etliche Anleitungen angesehen und entferner Programme (allg. fpr Vundo) geladen, nicht hat aber geholfen, oder besser gesagt kein Fund! Da mein PC nicht mehr auf dem neusten Stand war (Windows Update uns SP technisch) (Antivir, Spybot... update ich täglich) habe ich mir SP2 gezogen und installiert, danach kam die Meldung beim booten nicht mehr und ich konnte die PC Sperre erfolgreich wieder aufhebenm nur konnte ich leider nicht mehr ins Internet  Jetzt habe ich SP2 wieder deinstalliert und nu ist wieder alles wie davor: Internet geht, Meldung komtm beim Booten, PC Sperren geht nicht.Vielen Danke für eure Mühe im voraus!!!! Mfg mrdhz Hier mein HJT Logfile Logfile of HijackThis v1.99.1 Scan saved at 17:30:03, on 09.01.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Programme\AntiVir PersonalEdition Classic\sched.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\ANYCOM\Blue USB-120-240\bin\btwdins.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\SLEE12.exe D:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\system32\spoolsc.exe D:\Programme\ANYCOM\Blue USB-120-240\BTTray.exe D:\Programme\Browser Mouse 1.0\LwbWheel.exe D:\Programme\QIP\qip.exe D:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\system32\cmd.exe D:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Dokumente und Einstellungen\***\Desktop\hijackthis_199\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://media.fastclick.net/w/safepop.cgi?cid=34298&mid=73359&sid=21110&c=25 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - Startup: LwbWheel.lnk = D:\Programme\Browser Mouse 1.0\LwbWheel.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Senden an &Bluetooth - D:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - D:\Programme\Hello\PicasaCapture.dll O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - D:\Programme\Hello\PicasaCapture.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{0F0A2665-9585-409E-AF1A-5F21E1259C37}: NameServer = 10.0.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{0F0A2665-9585-409E-AF1A-5F21E1259C37}: NameServer = 10.0.0.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Programme\ANYCOM\Blue USB-120-240\bin\btwdins.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Steganos Live Encryption Engine 12 [Service] (SLEE_12_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE12.exe O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: Windows Terminal Services - Unknown owner - C:\WINDOWS\system32\spoolsc.exe |
|
09.01.2007, 17:45
| #2 | |
| Administrator > Competence Manager  | TR/Vundo.F.2 Hallo.
__________________ Du hast folgenden Schädling laut deinem Hijacklog im System aktiv: Zitat:
W32/Agobot-HY Kann dir bei einem BackdoorTrojaner nur das empfehlen -> Neuinstallation des Betriebssystems + zukünftige Absicherung Nach der Neuinstallation, vor dem ersten Gang ins Internet solltest du alle Updates und ServicePacks einspielen, nur so macht es Sinn.  Gruß Sunny
__________________ |
|
11.01.2007, 17:03
| #3 |
| | TR/Vundo.F.2 Dankeschön für deine Auswertung!
__________________Habe jetzt C: Formatiert und das System komplett neu aufgesetzt. Meine anderen Partitions habe ich allerdings nicht formatiert, ich hoff es ging auch so. Könnte bitte einer mein neues Logfile durchsehen ob mein System nur wieder sauber ist? Dankeschön!! Mfg mrdhz Logfile of HijackThis v1.99.1 Scan saved at 16:59:24, on 11.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE D:\Programme\Browser Mouse 1.0\LwbWheel.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\ctfmon.exe D:\Programme\QIP\qip.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\hijackthis_199\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [StillImageMonitor] C:\W O4 - HKLM\..\Run: [ScanRegistry] C:\W O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: LwbWheel.lnk = D:\Programme\Browser Mouse 1.0\LwbWheel.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168375113171 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
|
11.01.2007, 17:06
| #4 |
| Administrator > Competence Manager | TR/Vundo.F.2 Hallo. Ich würde mal sagen das das System nun wieder vertrauenswürdig scheint, auch im Hijacklog ist nichts ersichtlich.  Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
| Themen zu TR/Vundo.F.2 |
| adobe, antivir, avira, bei jedem neustart wieder da, bho, booten, booten nicht, browser, cid, desktop, einstellungen, explorer, helper, hijack, hijackthis, internet, internet explorer, kein fund, mozilla, mozilla thunderbird, neustart, problem, rundll, senden, software, windows, windows xp |
Linear-Darstellung
