Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Vundo.Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.08.2007, 23:32   #1
Keline
 
Vundo.Gen - Standard

Vundo.Gen



Hi
hab mir das ding hier eingefangen und krieg es im safe mode nicht raus, hier der HJT Log

Logfile of HijackThis v1.99.1
Scan saved at 23:31:26, on 31.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
D:\PSStarter\3.0\Apps\apdproxy.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\PDFree\MoTMgr.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\DOKUME~1\Barbara\LOKALE~1\Temp\AutoRun.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe
D:\Hj2000.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://sww.stusta.mhn.de/proxy.pac
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {90A71BF1-70AF-4830-A9B8-6D1B4EDF7378} - C:\WINDOWS\system32\vtsqq.dll (file missing)
O2 - BHO: (no name) - {A3624CF3-54E1-4FD0-88EF-F9BDF3979F3A} - C:\WINDOWS\system32\fccywvt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\PSStarter\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [navapp] C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [GameFace Messenger] C:\Programme\GameFace Messenger\GameFace.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: MoTechno - protection manager.lnk = D:\Programme\PDFree\MoTMgr.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Download Using &BitSpirit - C:\Programme\BitSpirit\bsurl.htm
O8 - Extra context menu item: Ebates. - file://C:\Programme\EbatesMoeMoneyMaker4\ebatessmmm\ebatestmmm\ebmmC0.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {F2B441CC-E026-47fb-BDC3-A07750FA3D2C} - file://C:\Programme\EbatesMoeMoneyMaker4\ebatessmmm\ebatestmmm\ebmmC0.htm (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: fccywvt - C:\WINDOWS\SYSTEM32\fccywvt.dll
O20 - Winlogon Notify: vtsqq - C:\WINDOWS\system32\vtsqq.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Danke schonmal für die Hilfe

Alt 31.08.2007, 23:47   #2
BataAlexander
> MalwareDB
 
Vundo.Gen - Standard

Vundo.Gen



Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
* nach dem neustart, navigierst du zur datei C:\vundofix.txt, poste den inhalt
* erstelle ein neues hjt-logfile und poste es.

Bata
__________________


Alt 01.09.2007, 00:05   #3
Keline
 
Vundo.Gen - Standard

Vundo.Gen



Gleich beim neustart hat sich antivir wieder mit nem vundo.gen fund gemeldet!

VundoFix V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 23:58:56 31.08.2007

Listing files found while scanning....

C:\WINDOWS\system32\qqstv.bak1
C:\WINDOWS\system32\qqstv.ini
C:\WINDOWS\system32\qqstv.ini2
C:\WINDOWS\system32\qqstv.tmp
C:\WINDOWS\system32\vtsqq.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\qqstv.bak1
C:\WINDOWS\system32\qqstv.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\qqstv.ini
C:\WINDOWS\system32\qqstv.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\qqstv.ini2
C:\WINDOWS\system32\qqstv.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\qqstv.tmp
C:\WINDOWS\system32\qqstv.tmp Has been deleted!

Performing Repairs to the registry.
Done!
__________________

Alt 01.09.2007, 00:07   #4
Keline
 
Vundo.Gen - Standard

Vundo.Gen



Vundofix findet auch noch im system32\vtsqq.dll
kann die datei im explorer aber nicht sehen

HJT log:

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Geändert von Keline (01.09.2007 um 00:13 Uhr)

Alt 01.09.2007, 01:29   #5
Keline
 
Vundo.Gen - Standard

Vundo.Gen



O20 - Winlogon Notify: fccywvt - C:\WINDOWS\SYSTEM32\fccywvt.dll

das wird von AntiVir auch noch als Vundo.Gen identifiziert, von Vundofix aber nicht


Alt 01.09.2007, 10:18   #6
BataAlexander
> MalwareDB
 
Vundo.Gen - Standard

Vundo.Gen



Gehe wiefolgt vor

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O20 - Winlogon Notify: fccywvt - C:\WINDOWS\SYSTEM32\fccywvt.dll

dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.


Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\WINDOWS\SYSTEM32\fccywvt.dll

1. Vor dem Listen der Dateien räumen wir Deinen Rechner etwas auf.
- Lade Cleanup, führe es wie hier beschrieben aus.
- starte den Rechner neu
2. Die Stapelverabeitungsdatei laden und ausführen
- Lade Dir die complete.bat von hier
- Rechtsklick auf den Link zur
- Ziel speichern unter...
- wähle den Desktop
- dann erscheint eine complet.bat auf dem Desktop
- bei einigen Browsern wird die Dateiendung auf .html umgestellt.
Ist das der Fall, die Datei anklicken, F2 drücken und die Endung in .bat ändern, dann Enter drücken.
Die Meldung mit Ja bestätigen
- klicke auf die complet.bat
3. Insgesamt werden neun Log Dateien erstellt. Zum Ausführen der Datei benötigt man Administrationsrechte.
- Den Inhalt der Logdateien als [code][/code] posten.
Es werden nur die Dateien/Ordner der letzten 30 Tage zur Auswertung benötigt.
________________________________________________________________________
|?| : Wofür Cleanup?
Cleanup löscht Temporäre Internetdateien, den Papierkorb und den Prefetchordner. Dies ist sinnvoll um das zu postende Dateivolumen zu verringern.
|?| : Wofür complete.bat?
Manchmal befinden sich Dateien auf dem Rechner, die von Viren, Spyware oder Backdoors abgelegt wurden und welche ein Antivirenscanner nicht auf Anhieb findet. Deshalb hat virus-protect diese bat-Datei erstellt, um nachzuprüfen, was sich in Windows\System32, Windows und C:\ und den temporären Dateien, C:\Programme, C:\WINDOWS\Prefetch befindet.
Bata

Alt 01.09.2007, 10:50   #7
Keline
 
Vundo.Gen - Standard

Vundo.Gen



Der Text, den Sie eingegeben haben, besteht aus 134378 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen.

hab ich was zuviel gemacht?

Alt 01.09.2007, 10:52   #8
BataAlexander
> MalwareDB
 
Vundo.Gen - Standard

Vundo.Gen



Zitat:
Es werden nur die Dateien/Ordner der letzten 30 Tage zur Auswertung benötigt.

Und es können auch zwei posts werden.

Bata

Alt 01.09.2007, 11:01   #9
Keline
 
Vundo.Gen - Standard

Vundo.Gen



Danke schonmal für deine Hilfe, ich fühle mich schon viel sicherer jetzt wo meien AV nicht ständig schreit LOL

Code:
ATTFilter
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 541C-3B3F

 Verzeichnis von C:\

01.09.2007  10:46                 0 DC.txt
31.08.2007  22:01                 0 Neu Textdokument.txt
27.08.2007  12:38             1.257 sti.log
01.09.2007  10:28             2.000 VundoFix.txt
              16 Datei(en)  1.611.086.991 Bytes
               0 Verzeichnis(se), 79.088.156.672 Bytes frei


 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 541C-3B3F

 Verzeichnis von C:\

01.09.2007  09:49    <DIR>          !KillBox
01.09.2007  01:08    <DIR>          $VAULT$.AVG
01.09.2007  09:48    <DIR>          Avenger
01.09.2007  01:37    <DIR>          Config.Msi
31.08.2007  16:10    <DIR>          pdf995
31.08.2007  22:32    <DIR>          Program Files
01.09.2007  10:33    <DIR>          Programme
01.09.2007  10:37    <DIR>          Temp
01.09.2007  10:26    <DIR>          VundoFix Backups
01.09.2007  10:37    <DIR>          WINDOWS
               0 Datei(en)              0 Bytes
              20 Verzeichnis(se), 79.088.091.136 Bytes frei


 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 541C-3B3F

 Verzeichnis von C:\Programme



 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 541C-3B3F

 Verzeichnis von C:\Programme

01.09.2007  10:33    <DIR>          .
01.09.2007  10:33    <DIR>          ..
01.09.2007  01:17    <DIR>          AntiVir PersonalEdition Classic
01.09.2007  10:33    <DIR>          CleanUp!
01.09.2007  01:45    <DIR>          Gemeinsame Dateien
27.08.2007  12:07    <DIR>          InstallShield Installation Information
15.08.2007  19:12    <DIR>          Internet Explorer
02.08.2007  23:10    <DIR>          World of Warcraft
               0 Datei(en)              0 Bytes
              72 Verzeichnis(se), 79.088.087.040 Bytes frei


 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 541C-3B3F

 Verzeichnis von C:\WINDOWS

01.09.2007  10:44         1.987.463 WindowsUpdate.log
01.09.2007  10:42                 0 0.log
01.09.2007  10:42               159 wiadebug.log
01.09.2007  10:42                50 wiaservc.log
01.09.2007  10:42             2.048 bootstat.dat
01.09.2007  10:41            32.578 SchedLgU.Txt
01.09.2007  01:43           392.615 setupapi.log
31.08.2007  23:13           212.868 ntbtlog.txt
31.08.2007  22:03                69 NeroDigital.ini
31.08.2007  16:10                49 wpd99.drv
30.08.2007  17:34            17.465 wmsetup.log
29.08.2007  14:50           110.293 iis6.log
29.08.2007  14:50           270.177 tsoc.log
29.08.2007  14:50           243.748 comsetup.log
29.08.2007  14:50             1.374 imsins.log
29.08.2007  14:50           146.068 ntdtcsetup.log
29.08.2007  14:50            38.847 ocmsn.log
29.08.2007  14:50            21.423 KB933360.log
29.08.2007  14:50            35.170 msgsocm.log
29.08.2007  14:50           338.361 ocgen.log
29.08.2007  14:50           697.849 FaxSetup.log
27.08.2007  12:17           364.764 DirectX.log
15.08.2007  19:28            38.503 spupdsvc.log
15.08.2007  19:13             1.374 imsins.BAK
15.08.2007  19:13            15.120 KB936021.log
15.08.2007  19:13            42.944 updspapi.log
15.08.2007  19:13            14.305 KB938828.log
15.08.2007  19:13            14.453 KB921503.log
15.08.2007  19:13            14.252 KB938829.log
15.08.2007  19:12            14.013 KB938127.log
15.08.2007  19:12            17.968 KB937143.log
15.08.2007  19:12           289.356 msxml4-KB936181-enu.LOG
15.08.2007  19:11             5.067 KB936782.log
             231 Datei(en)     18.733.935 Bytes
               0 Verzeichnis(se), 79.088.070.656 Bytes frei



 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 541C-3B3F

 Verzeichnis von C:\WINDOWS

15.08.2007  19:13    <DIR>          $NtUninstallKB921503$
29.08.2007  14:50    <DIR>          $NtUninstallKB933360$
15.08.2007  19:13    <DIR>          $NtUninstallKB936021$
15.08.2007  19:11    <DIR>          $NtUninstallKB936782_WMP11$
15.08.2007  19:12    <DIR>          $NtUninstallKB937143$
15.08.2007  19:12    <DIR>          $NtUninstallKB938127$
15.08.2007  19:13    <DIR>          $NtUninstallKB938828$
15.08.2007  19:13    <DIR>          $NtUninstallKB938829$
27.08.2007  12:17    <DIR>          assembly



 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 541C-3B3F

 Verzeichnis von C:\DOKUME~1\Barbara\LOKALE~1\Temp

01.09.2007  10:48                 0 jupdate1.5.0.xml
01.09.2007  10:48               510 jusched.log
01.09.2007  10:44               512 ~DF142.tmp
01.09.2007  10:44           327.680 ~DF21.tmp
01.09.2007  10:44               512 ~DF7E31.tmp
01.09.2007  10:44           327.680 ~DF79EC.tmp
01.09.2007  10:43            16.384 ~DFEE1B.tmp
01.09.2007  10:43               512 ~DFC42C.tmp
01.09.2007  10:43            16.384 ~DFC3EF.tmp
01.09.2007  10:43            16.384 ~DFEE80.tmp
              10 Datei(en)        706.558 Bytes
               0 Verzeichnis(se), 79.087.874.048 Bytes frei


 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 541C-3B3F

 Verzeichnis von C:\WINDOWS\Prefetch

01.09.2007  10:48            14.084 NOTEPAD.EXE-336351A9.pf
01.09.2007  10:48            24.748 JUCHECK.EXE-088F15E6.pf
01.09.2007  10:48             8.414 JAVA.EXE-06005739.pf
01.09.2007  10:46            15.126 CMD.EXE-087B4001.pf
01.09.2007  10:46            11.936 VERCLSID.EXE-3667BD89.pf
01.09.2007  10:45            64.318 FIREFOX.EXE-28BE8AE1.pf
01.09.2007  10:44            13.552 GETPOPUPINFO.EXE-01E7AAF8.pf
01.09.2007  10:44            49.512 USNSVC.EXE-1D8C2356.pf
01.09.2007  10:44            75.156 COMPONENTLAUNCHER.EXE-268CD12F.pf
01.09.2007  10:44            20.104 WUAUCLT.EXE-399A8E72.pf
01.09.2007  10:43             2.666 MOTMGR.EXE-01ED8344.pf
01.09.2007  10:43            12.422 WINCINEMAMGR.EXE-04A7509F.pf
01.09.2007  10:43            14.428 NMIndexStoreSvr.exe-1DBCF9FD.pf
01.09.2007  10:43            10.166 READER_SL.EXE-36135169.pf
01.09.2007  10:43            14.986 NMINDEXINGSERVICE.EXE-19799BA6.pf
01.09.2007  10:43            11.586 NMBGMONITOR.EXE-0BC10095.pf
01.09.2007  10:43            29.702 ICQLITE.EXE-2AEFACA7.pf
01.09.2007  10:43            21.632 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf
01.09.2007  10:43            13.240 SMARTDOCTOR.EXE-06E70190.pf
01.09.2007  10:43            24.826 MSNMSGR.EXE-091111D0.pf
01.09.2007  10:43            17.876 ADOBEUPDATEMANAGER.EXE-2BB88D51.pf
01.09.2007  10:43            11.034 ITUNESHELPER.EXE-1CC2818B.pf
01.09.2007  10:43             8.746 QTTASK.EXE-2D7EEF34.pf
01.09.2007  10:43            11.156 FPASSIST.EXE-18368AA2.pf
01.09.2007  10:43            10.186 NWIZ.EXE-2D0F9FBC.pf
01.09.2007  10:43            14.874 DAEMON.EXE-28AD7272.pf
01.09.2007  10:43            16.618 REALSCHED.EXE-0A2A7558.pf
01.09.2007  10:43            39.592 APDPROXY.EXE-38521768.pf
01.09.2007  10:43             7.682 NEROCHECK.EXE-1BD71082.pf
01.09.2007  10:43           903.418 NTOSBOOT-B00DFAAD.pf
              30 Datei(en)      1.493.786 Bytes
               0 Verzeichnis(se), 79.087.656.960 Bytes frei
         

Alt 02.09.2007, 12:04   #10
BataAlexander
> MalwareDB
 
Vundo.Gen - Standard

Vundo.Gen



Lösche die Ordner

C:\!KillBox
C:\VundoFix Backups

Dann:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Boote im abgesicherten Modus
-Starte es dann und lass das System Reinigen. (Option 2)



-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt

Poste und berichte.

Bata

Alt 09.09.2007, 22:24   #11
Keline
 
Vundo.Gen - Standard

Vundo.Gen



Ergebnis des rapport TXT. Scan liefert keine Funde.

mitFraudFix v2.219

Scan done at 22:21:56,34, 09.09.2007
Run from C:\Dokumente und Einstellungen\Barbara\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6508FF90-A072-4253-B915-05BBBDFDBBEB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6508FF90-A072-4253-B915-05BBBDFDBBEB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6508FF90-A072-4253-B915-05BBBDFDBBEB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Alt 09.09.2007, 22:27   #12
BataAlexander
> MalwareDB
 
Vundo.Gen - Standard

Vundo.Gen



Ok erstelle ein neues HJT Log. Wichtig: Benenne HJT in irgendwas.com um!

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 10.09.2007, 07:12   #13
Keline
 
Vundo.Gen - Standard

Vundo.Gen



Hab nur einen Link gefunden.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:11:54, on 10.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
D:\PSStarter\3.0\Apps\apdproxy.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\ATKKBService.exe
D:\Programme\PDFree\MoTMgr.EXE
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\Programme\iTunes\iTunes.exe
C:\Programme\MSN Messenger\usnsvc.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Dokumente und Einstellungen\Barbara\Desktop\this.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://**stusta.mhn.de/proxy.pac
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {90A71BF1-70AF-4830-A9B8-6D1B4EDF7378} - C:\WINDOWS\system32\vtsqq.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\PSStarter\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [navapp] C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

Alt 10.09.2007, 07:31   #14
BataAlexander
> MalwareDB
 
Vundo.Gen - Standard

Vundo.Gen



Dein Log ist warum auch immer unvollständig.
Bitte erstelle ein neues Log, lass HJT erst ganz durchlaufen.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Antwort

Themen zu Vundo.Gen
adobe, alert, antivir, avira, bho, computer, downloader, explorer, firefox, google, hijack, hijackthis, internet, internet explorer, mozilla, mozilla firefox, nvidia, rundll, server, software, system, temp, vundo.gen, windows, windows xp



Ähnliche Themen: Vundo.Gen


  1. Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (28)
  2. TR/Vundo.Gen ... o.O
    Log-Analyse und Auswertung - 20.03.2009 (1)
  3. TR/Vundo.Gen; TR/Vundo.fnr.6 entfernen ?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2009 (9)
  4. Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18
    Log-Analyse und Auswertung - 22.12.2008 (13)
  5. TR/Vundo.fnr.6; TR/Vundo.Gen; TR/Crypt/Morphine.Gen....
    Mülltonne - 27.10.2008 (0)
  6. tr/vundo.gen
    Log-Analyse und Auswertung - 03.07.2008 (9)
  7. TR\Vundo.Gen
    Mülltonne - 26.06.2008 (0)
  8. Vundo
    Mülltonne - 25.06.2008 (1)
  9. TR/Vundo.Gen
    Mülltonne - 25.06.2008 (0)
  10. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  11. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  12. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)
  13. TR/Vundo.gj
    Log-Analyse und Auswertung - 06.05.2008 (27)
  14. TR/Vundo.gen
    Log-Analyse und Auswertung - 05.05.2008 (14)
  15. TR/Vundo.gen TR/vundo.AC Bitte um Hilfe
    Log-Analyse und Auswertung - 22.03.2008 (10)
  16. TR/Vundo.Gen und TR/Vundo.dvc1 bekämpfen
    Log-Analyse und Auswertung - 09.01.2008 (18)
  17. Wie kann ich TR/Vundo.AH und TR/Vundo.Gen entfernen?
    Log-Analyse und Auswertung - 24.03.2007 (6)

Zum Thema Vundo.Gen - Hi hab mir das ding hier eingefangen und krieg es im safe mode nicht raus, hier der HJT Log Logfile of HijackThis v1.99.1 Scan saved at 23:31:26, on 31.08.2007 Platform: - Vundo.Gen...
Archiv
Du betrachtest: Vundo.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.