| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Vundo.lWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
25.01.2007, 14:44
| #1 |
| |  TR/Vundo.l Hi Leute, mein virenprogramm meldet mir den Trojaner TR/Vundo.l ich habe versucht im abgesicherten Modus zu starten, den scann durchzuführen und die infiziereten Dateien zu löschen, aber das funkt auch nicht. ich habe einige Tools probiert, diese sind aber andere Vundo Mutationen. bitte um Eure Hilfe, danke Alex HiJackThis Log File: Logfile of HijackThis v1.99.1 Scan saved at 14:42:00, on 25.01.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\NetScreen\NetScreen-Remote\IreIKE.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe C:\WINDOWS\System32\bmwebcfg.exe C:\Programme\NetScreen\NetScreen-Remote\IPSecMon.exe C:\Programme\Novatel Wireless\MobiLink\iilserver.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe C:\Programme\NetScreen\NetScreen-Remote\SafeCfg.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\SPAMfighter\programm\SFAgent.exe C:\Dokumente und Einstellungen\ba\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.gde.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Lsass Center] Issass.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\oqbejrtt.dll",setvm O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\programm\SFAgent.exe" update delay 60 O4 - HKLM\..\RunServices: [Microsoft Lsass Center] Issass.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Automatic Update-Agent.lnk = ? O4 - Global Startup: NetScreen-Remote.lnk = C:\Programme\NetScreen\NetScreen-Remote\SafeCfg.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = seeboden.local O17 - HKLM\Software\..\Telephony: DomainName = seeboden.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = seeboden.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = seeboden.local O18 - Protocol: t-mobile - {C6D89159-3467-4C2F-9918-3362DA57BCD2} - C:\PROGRA~1\T-Mobile\HOTSPO~1\TMOBIL~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\System32\bmwebcfg.exe O23 - Service: Windows Host Services (DLLHOST32) - Unknown owner - C:\WINDOWS\system\dllhost.exe (file missing) O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\NetScreen\NetScreen-Remote\IPSecMon.exe O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Programme\NetScreen\NetScreen-Remote\IreIKE.exe O23 - Service: MobiLink IILServer - Novatel Wireless, Inc. - C:\Programme\Novatel Wireless\MobiLink\iilserver.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe |
|
25.01.2007, 16:24
| #2 | |
| Administrator > Competence Manager  | TR/Vundo.l Hallo.
__________________ 1.) Warum ist bei dir eine VPN-Remotesoftware am laufen, muss das so? 2.) Allem Anschein nach war/hat bei dir Sasser Einzug gehalten. Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Ich denke aber das du um eine Neuinstallation nicht drum herum kommst!  Die fehlen alle Updates und Servicepacks, das alleine ist schon ein Grund. Sunny
__________________ |
|
26.01.2007, 08:17
| #3 |
| | TR/Vundo.l vielen dank erstmal dass du dich meinem problem annimmst.
__________________die vpn software brauche ich um von zu hause auf meinen firmen pc zugreifen zu können. ok, hier nun die ergebnisse des scanns im nächsten beitrag |
|
26.01.2007, 08:18
| #4 |
| | TR/Vundo.l Antivirus Version Update Result AntiVir 7.3.0.26 01.25.2007 no virus found Authentium 4.93.8 01.24.2007 no virus found Avast 4.7.936.0 01.24.2007 no virus found AVG 386 01.24.2007 no virus found BitDefender 7.2 01.25.2007 no virus found CAT-QuickHeal 9.00 01.25.2007 no virus found ClamAV devel-20060426 01.25.2007 no virus found DrWeb 4.33 01.25.2007 no virus found eSafe 7.0.14.0 01.24.2007 no virus found eTrust-InoculateIT 23.73.123 01.25.2007 no virus found eTrust-Vet 30.3.3349 01.25.2007 no virus found Ewido 4.0 01.24.2007 no virus found Fortinet 2.85.0.0 01.24.2007 no virus found F-Prot 4.2.1.29 01.25.2007 no virus found Ikarus T3.1.0.27 01.25.2007 no virus found Kaspersky 4.0.2.24 01.25.2007 no virus found McAfee 4948 01.24.2007 no virus found Microsoft 1.1904 01.25.2007 no virus found NOD32v2 2005 01.25.2007 no virus found Norman 5.80.02 01.25.2007 no virus found Panda 9.0.0.4 01.25.2007 no virus found Prevx1 V2 01.25.2007 no virus found Sophos 4.13.0 01.24.2007 no virus found Sunbelt 2.2.907.0 01.22.2007 no virus found TheHacker 6.0.3.156 01.25.2007 no virus found UNA 1.83 01.24.2007 no virus found VBA32 3.11.2 01.24.2007 no virus found VirusBuster 4.3.19:9 01.24.2007 no virus found Aditional Information File size: 11776 bytes MD5: 58239984742e8fd4cd3fceeb545366c1 SHA1: 7010716e0c17e3b988fc87a2f079aff4e3fdc33a Antivirus Version Update Result AntiVir 7.3.0.26 01.25.2007 ADSPY/Virtumonde.FT Authentium 4.93.8 01.24.2007 no virus found Avast 4.7.936.0 01.24.2007 no virus found AVG 386 01.24.2007 Adware Generic.SKU BitDefender 7.2 01.25.2007 MemScan:Trojan.Virtumod.EB CAT-QuickHeal 9.00 01.25.2007 AdWare.Virtumonde.ft (Not a Virus) ClamAV devel-20060426 01.25.2007 no virus found DrWeb 4.33 01.25.2007 Trojan.Virtumod eSafe 7.0.14.0 01.24.2007 no virus found eTrust-InoculateIT 23.73.123 01.25.2007 no virus found eTrust-Vet 30.3.3349 01.25.2007 no virus found Ewido 4.0 01.24.2007 no virus found Fortinet 2.85.0.0 01.24.2007 suspicious F-Prot 4.2.1.29 01.25.2007 no virus found Ikarus T3.1.0.27 01.25.2007 not-a-virus:AdWare.Win32.Virtumonde.ft Kaspersky 4.0.2.24 01.25.2007 not-a-virus:AdWare.Win32.Virtumonde.ft McAfee 4948 01.24.2007 Vundo.dll Microsoft 1.1904 01.25.2007 no virus found NOD32v2 2005 01.25.2007 Win32/Adware.Virtumonde.FT Norman 5.80.02 01.25.2007 W32/Virtumonde.TM Panda 9.0.0.4 01.25.2007 Spyware/Virtumonde Prevx1 V2 01.25.2007 no virus found Sophos 4.13.0 01.24.2007 no virus found Sunbelt 2.2.907.0 01.22.2007 VIPRE.Suspicious TheHacker 6.0.3.156 01.25.2007 Adware/Virtumonde.ft UNA 1.83 01.24.2007 Adware.Virtumonde.E6F3 VBA32 3.11.2 01.24.2007 no virus found VirusBuster 4.3.19:9 01.24.2007 Adware.Virtumonde.BL Aditional Information File size: 118804 bytes MD5: 5bce65e4c4c567f68915f5868d51912b SHA1: a77ac61ec1427cf0551ac3b9f643e1374aa3c6f5 packers: UPX Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. |
|
| Themen zu TR/Vundo.l |
| abgesicherten modus, adobe, antivir, avira, dllhost, dllhost.exe, einstellungen, excel, explorer, internet, internet explorer, log, log file, löschen, monitor, pdf, programm, programme, rundll, scan, skype.exe, software, starten, system, t-mobile, temp, trojaner, windows, windows xp |
Linear-Darstellung
