Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Vundo.l

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.01.2007, 13:44   #1
alex2311233
 
TR/Vundo.l - Standard

TR/Vundo.l



Hi Leute,
mein virenprogramm meldet mir den Trojaner
TR/Vundo.l
ich habe versucht im abgesicherten Modus zu starten, den scann durchzuführen und die infiziereten Dateien zu löschen, aber das funkt auch nicht.

ich habe einige Tools probiert, diese sind aber andere Vundo Mutationen.

bitte um Eure Hilfe,
danke
Alex


HiJackThis Log File:


Logfile of HijackThis v1.99.1
Scan saved at 14:42:00, on 25.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NetScreen\NetScreen-Remote\IreIKE.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\WINDOWS\System32\bmwebcfg.exe
C:\Programme\NetScreen\NetScreen-Remote\IPSecMon.exe
C:\Programme\Novatel Wireless\MobiLink\iilserver.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe
C:\Programme\NetScreen\NetScreen-Remote\SafeCfg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\SPAMfighter\programm\SFAgent.exe
C:\Dokumente und Einstellungen\ba\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.gde.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Lsass Center] Issass.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\oqbejrtt.dll",setvm
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\programm\SFAgent.exe" update delay 60
O4 - HKLM\..\RunServices: [Microsoft Lsass Center] Issass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Automatic Update-Agent.lnk = ?
O4 - Global Startup: NetScreen-Remote.lnk = C:\Programme\NetScreen\NetScreen-Remote\SafeCfg.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = seeboden.local
O17 - HKLM\Software\..\Telephony: DomainName = seeboden.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = seeboden.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = seeboden.local
O18 - Protocol: t-mobile - {C6D89159-3467-4C2F-9918-3362DA57BCD2} - C:\PROGRA~1\T-Mobile\HOTSPO~1\TMOBIL~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\System32\bmwebcfg.exe
O23 - Service: Windows Host Services (DLLHOST32) - Unknown owner - C:\WINDOWS\system\dllhost.exe (file missing)
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\NetScreen\NetScreen-Remote\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Programme\NetScreen\NetScreen-Remote\IreIKE.exe
O23 - Service: MobiLink IILServer - Novatel Wireless, Inc. - C:\Programme\Novatel Wireless\MobiLink\iilserver.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Alt 25.01.2007, 15:24   #2
Sunny
Administrator
> Competence Manager
 

TR/Vundo.l - Standard

TR/Vundo.l



Hallo.

1.) Warum ist bei dir eine VPN-Remotesoftware am laufen, muss das so?

2.) Allem Anschein nach war/hat bei dir Sasser Einzug gehalten.

Dateien Online überprüfen lassen:


* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:
c:\windows\system32\Issass.exe
C:\WINDOWS\System32\oqbejrtt.dll
* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Ich denke aber das du um eine Neuinstallation nicht drum herum kommst!

Die fehlen alle Updates und Servicepacks, das alleine ist schon ein Grund.

Sunny
__________________

__________________

Alt 26.01.2007, 07:17   #3
alex2311233
 
TR/Vundo.l - Standard

TR/Vundo.l



vielen dank erstmal dass du dich meinem problem annimmst.
die vpn software brauche ich um von zu hause auf meinen firmen pc zugreifen zu können.

ok, hier nun die ergebnisse des scanns im nächsten beitrag
__________________

Alt 26.01.2007, 07:18   #4
alex2311233
 
TR/Vundo.l - Standard

TR/Vundo.l



Antivirus Version Update Result
AntiVir 7.3.0.26 01.25.2007 no virus found
Authentium 4.93.8 01.24.2007 no virus found
Avast 4.7.936.0 01.24.2007 no virus found
AVG 386 01.24.2007 no virus found
BitDefender 7.2 01.25.2007 no virus found
CAT-QuickHeal 9.00 01.25.2007 no virus found
ClamAV devel-20060426 01.25.2007 no virus found
DrWeb 4.33 01.25.2007 no virus found
eSafe 7.0.14.0 01.24.2007 no virus found
eTrust-InoculateIT 23.73.123 01.25.2007 no virus found
eTrust-Vet 30.3.3349 01.25.2007 no virus found
Ewido 4.0 01.24.2007 no virus found
Fortinet 2.85.0.0 01.24.2007 no virus found
F-Prot 4.2.1.29 01.25.2007 no virus found
Ikarus T3.1.0.27 01.25.2007 no virus found
Kaspersky 4.0.2.24 01.25.2007 no virus found
McAfee 4948 01.24.2007 no virus found
Microsoft 1.1904 01.25.2007 no virus found
NOD32v2 2005 01.25.2007 no virus found
Norman 5.80.02 01.25.2007 no virus found
Panda 9.0.0.4 01.25.2007 no virus found
Prevx1 V2 01.25.2007 no virus found
Sophos 4.13.0 01.24.2007 no virus found
Sunbelt 2.2.907.0 01.22.2007 no virus found
TheHacker 6.0.3.156 01.25.2007 no virus found
UNA 1.83 01.24.2007 no virus found
VBA32 3.11.2 01.24.2007 no virus found
VirusBuster 4.3.19:9 01.24.2007 no virus found
Aditional Information
File size: 11776 bytes
MD5: 58239984742e8fd4cd3fceeb545366c1
SHA1: 7010716e0c17e3b988fc87a2f079aff4e3fdc33a




Antivirus Version Update Result
AntiVir 7.3.0.26 01.25.2007 ADSPY/Virtumonde.FT
Authentium 4.93.8 01.24.2007 no virus found
Avast 4.7.936.0 01.24.2007 no virus found
AVG 386 01.24.2007 Adware Generic.SKU
BitDefender 7.2 01.25.2007 MemScan:Trojan.Virtumod.EB
CAT-QuickHeal 9.00 01.25.2007 AdWare.Virtumonde.ft (Not a Virus)
ClamAV devel-20060426 01.25.2007 no virus found
DrWeb 4.33 01.25.2007 Trojan.Virtumod
eSafe 7.0.14.0 01.24.2007 no virus found
eTrust-InoculateIT 23.73.123 01.25.2007 no virus found
eTrust-Vet 30.3.3349 01.25.2007 no virus found
Ewido 4.0 01.24.2007 no virus found
Fortinet 2.85.0.0 01.24.2007 suspicious
F-Prot 4.2.1.29 01.25.2007 no virus found
Ikarus T3.1.0.27 01.25.2007 not-a-virus:AdWare.Win32.Virtumonde.ft
Kaspersky 4.0.2.24 01.25.2007 not-a-virus:AdWare.Win32.Virtumonde.ft
McAfee 4948 01.24.2007 Vundo.dll
Microsoft 1.1904 01.25.2007 no virus found
NOD32v2 2005 01.25.2007 Win32/Adware.Virtumonde.FT
Norman 5.80.02 01.25.2007 W32/Virtumonde.TM
Panda 9.0.0.4 01.25.2007 Spyware/Virtumonde
Prevx1 V2 01.25.2007 no virus found
Sophos 4.13.0 01.24.2007 no virus found
Sunbelt 2.2.907.0 01.22.2007 VIPRE.Suspicious
TheHacker 6.0.3.156 01.25.2007 Adware/Virtumonde.ft
UNA 1.83 01.24.2007 Adware.Virtumonde.E6F3
VBA32 3.11.2 01.24.2007 no virus found
VirusBuster 4.3.19:9 01.24.2007 Adware.Virtumonde.BL
Aditional Information
File size: 118804 bytes
MD5: 5bce65e4c4c567f68915f5868d51912b
SHA1: a77ac61ec1427cf0551ac3b9f643e1374aa3c6f5
packers: UPX
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Antwort

Themen zu TR/Vundo.l
abgesicherten modus, adobe, antivir, avira, dllhost, dllhost.exe, einstellungen, excel, explorer, internet, internet explorer, log, log file, löschen, monitor, pdf, programm, programme, rundll, scan, skype.exe, software, starten, system, t-mobile, temp, trojaner, windows, windows xp



Ähnliche Themen: TR/Vundo.l


  1. Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (28)
  2. TR/Vundo.Gen ... o.O
    Log-Analyse und Auswertung - 20.03.2009 (1)
  3. TR/Vundo.Gen; TR/Vundo.fnr.6 entfernen ?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2009 (9)
  4. Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18
    Log-Analyse und Auswertung - 22.12.2008 (13)
  5. TR/Vundo.fnr.6; TR/Vundo.Gen; TR/Crypt/Morphine.Gen....
    Mülltonne - 27.10.2008 (0)
  6. tr/vundo.gen
    Log-Analyse und Auswertung - 03.07.2008 (9)
  7. TR\Vundo.Gen
    Mülltonne - 26.06.2008 (0)
  8. Vundo
    Mülltonne - 25.06.2008 (1)
  9. TR/Vundo.Gen
    Mülltonne - 25.06.2008 (0)
  10. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  11. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  12. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)
  13. TR/Vundo.gj
    Log-Analyse und Auswertung - 06.05.2008 (27)
  14. TR/Vundo.gen
    Log-Analyse und Auswertung - 05.05.2008 (14)
  15. TR/Vundo.gen TR/vundo.AC Bitte um Hilfe
    Log-Analyse und Auswertung - 22.03.2008 (10)
  16. TR/Vundo.Gen und TR/Vundo.dvc1 bekämpfen
    Log-Analyse und Auswertung - 09.01.2008 (18)
  17. Wie kann ich TR/Vundo.AH und TR/Vundo.Gen entfernen?
    Log-Analyse und Auswertung - 24.03.2007 (6)

Zum Thema TR/Vundo.l - Hi Leute, mein virenprogramm meldet mir den Trojaner TR/Vundo.l ich habe versucht im abgesicherten Modus zu starten, den scann durchzuführen und die infiziereten Dateien zu löschen, aber das funkt auch - TR/Vundo.l...
Archiv
Du betrachtest: TR/Vundo.l auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.