Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Vundo.Gen lässt sich nicht entfernen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 12.10.2007, 12:31   #1
Ini
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



Hallo,
ich habe auch ein Trojaner auf meinem Rechner. Der Antivir meldet folgendes:


Beginne mit der Suche in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\hgdda.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!

Hier ist mein Hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 13:07, on 2007-10-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\xampp\filezillaftp\filezillaserver.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe


O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B94E3D67F5B78412E3EC2 - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {88E3620F-6870-4695-A755-DAFB099A9500} - C:\WINDOWS\system32\geeda.dll (file missing)
O2 - BHO: (no name) - {A8594EAF-C1D4-4DFD-98B6-2E1002144065} - C:\WINDOWS\system32\byxwt.dll (file missing)
O2 - BHO: (no name) - {B6A50DD3-BB24-48E4-97B7-4B917E50006C} - C:\WINDOWS\system32\ljjjh.dll (file missing)
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O2 - BHO: (no name) - {CB5F7624-0431-4E6D-BBB4-02C63E563A68} - C:\WINDOWS\system32\hgdda.dll
O2 - BHO: (no name) - {CFA49428-AC68-4561-BDBD-EABAB8DCD179} - C:\WINDOWS\system32\cbxxy.dll (file missing)
O2 - BHO: {91a5172e-22d3-b368-f6b4-cdcb144f807d} - {d708f441-bcdc-4b6f-863b-3d22e2715a19} - C:\WINDOWS\system32\avlwdwkq.dll (file missing)
O2 - BHO: (no name) - {F5FAD2C4-4D50-4377-9C2C-EA28E9A3B575} - C:\WINDOWS\system32\xxyyw.dll (file missing)
O2 - BHO: (no name) - {FC4F5C80-9F4D-4103-98DC-E0CFDD5BBE8D} - C:\WINDOWS\system32\pmnmk.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [f08c7409] rundll32.exe "C:\WINDOWS\system32\klwkdegj.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Download Master] C:\Programme\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\system32\textwareilluminatorbaseProtocol.dll
O20 - Winlogon Notify: byxwt - C:\WINDOWS\system32\byxwt.dll (file missing)
O20 - Winlogon Notify: cbxxy - C:\WINDOWS\system32\cbxxy.dll (file missing)
O20 - Winlogon Notify: geeda - C:\WINDOWS\system32\geeda.dll (file missing)
O20 - Winlogon Notify: ljjjh - C:\WINDOWS\system32\ljjjh.dll (file missing)
O20 - Winlogon Notify: pmnmk - C:\WINDOWS\system32\pmnmk.dll (file missing)
O20 - Winlogon Notify: tuvss - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: xxyyw - C:\WINDOWS\system32\xxyyw.dll (file missing)
O20 - Winlogon Notify: yayyvvv - C:\WINDOWS\SYSTEM32\yayyvvv.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


Vundofix, Fixvundo, Avenger und Killbox konnten hgdda.dll auch nicht entfernen. Ich habe auch probiert vom Linux aus sie zu löschen, geht auch nicht.

Bitte um Hilfe!!!!!!
Bin verzweifelt!!!!!


Danke im Voraus

Alt 12.10.2007, 12:43   #2
undoreal
/// AVZ-Toolkit Guru
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



Halli hallo Ini.

Folge bitte dieser Anleitung zu VudoFix und wiederhole sie so häufig bis nichts mehr gefunden wird.

Danach erstelle bitte ein neues HJT log sowie einen eScan Bericht. Anleitung dazu findest du in meiner Signatur.

Gruß

Undoreal
__________________

__________________

Alt 12.10.2007, 13:27   #3
myrtille
/// TB-Ausbilder
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



Hi,
es gibt Varianten die noch nicht von Vundofix entfernt werden können. Poste doch bitte mal das Vundofixlog. Welches Vundofix hast du denn benutzt? Wer ist der Autor?

Was war denn das Problem um die Datei zu löschen unter Linux (welche Distri, wie ist die Platte formatiert, was für ne Fehlermeldung, etc.)

lg myrtille
__________________

Alt 12.10.2007, 13:46   #4
Ini
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



Danke für euere Meldungen!

Tja,
ich habe den Vundofix mehrmals laufen lassen, beim Zugriff auf die Datei hgdda.dll meldet er, dass er auf sie nicht zugreifen kann. Unter Linux war die Datei nur lesbar, und chmod geht a nicht.

Vundofixlog sieht so aus:

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 14:14:30 2007-10-12

Listing files found while scanning....

C:\WINDOWS\system32\byxwt.dll
C:\WINDOWS\system32\cbxxy.dll
C:\WINDOWS\system32\geeda.dll
C:\WINDOWS\system32\ljjjh.dll
C:\WINDOWS\system32\pmnmk.dll
C:\WINDOWS\system32\xxyyw.dll

Beginning removal...

Performing Repairs to the registry.
Done!

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 14:23:38 2007-10-12

Listing files found while scanning....

C:\WINDOWS\system32\byxwt.dll
C:\WINDOWS\system32\cbxxy.dll
C:\WINDOWS\system32\geeda.dll
C:\WINDOWS\system32\ljjjh.dll
C:\WINDOWS\system32\pmnmk.dll
C:\WINDOWS\system32\xxyyw.dll

Beginning removal...

Performing Repairs to the registry.
Done!

Alt 12.10.2007, 13:50   #5
undoreal
/// AVZ-Toolkit Guru
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



Zitat:
ich habe den Vundofix mehrmals laufen lassen
nach Anleitung? Also auch die Version die in der Anleitung verlinkt ist? Ich frage nur so bescheurt nach weil es dort häufig Probleme gibt.

Zu Linux und den Dateizugriffen meldet sich Myrtille..

lg

Undoreal

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 12.10.2007, 14:01   #6
myrtille
/// TB-Ausbilder
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



Zitat:
welche Distri, wie ist die Platte formatiert, was für ne Fehlermeldung
Wenn du versuchen willst die Dateien unter Linux zu löschen, brauche ich diese Infos.
EDIT: Würde man zb davon asugehen, dass du Ubuntu hast, dann ist es normal, dass du keine Schreibrechte auf die Datei hast, da die Platte meist erst eingebunden werden nmüssen. Indem Fall solltest du zb mit sudo oder su glücklich werden. Handelt es sich um ntfs-platten, dann kann es sein dass noch weitere Probleme berücksichtigt werden müssen. Ob das Problem aber überhaupt ein Rechteproblem ist, kann ich erst sagen wenn du mir dein Problem beschriebst.


Deine Vundofixlogs sehen sehr seltsam aus, da wurde gar nichts gelöscht. Es sind also noch mehr Vundodateien auf deinem Rechner. Gab es beim durchlaufen lassen des Vundofix irgendwelche Fehlermeldungen?

Was war denn die Fehlermeldung bei Avenger?

Erstelle bitte noch folgendes Log:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp[/indent]
lg myrtille

Geändert von myrtille (12.10.2007 um 14:19 Uhr)

Alt 12.10.2007, 14:03   #7
Ini
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



Vundofix habe ich vom http://www.atribune.org/ geladen.

Zur Anleitung ->

Ich starte Vundofix
Scan for vundo
Remove Vundo
Kriege Fehlermeldung: Kann micht auf hgdda.dll zugreifen
reboot
Dann lösche ich den Inhalt von Vundofix Backup
leere Papierkorb
und wieder von vorne....

Allerdings bekomme ich nach dem Neustart eine neue Fehlermeldung:
Kann auf klwkdegi.dll nicht zugreifen. Modul ist nicht gefunden.

Alt 12.10.2007, 14:43   #8
Ini
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



Ich hab Suse Linux 10.1 , Dateisystem reiserfs


Logfiles:

----- Root -----------------------------

Verzeichnis von C:\

2007-10-12 14:28 1,073,139,712 hiberfil.sys
2007-10-12 14:28 1,610,612,736 pagefile.sys
2007-10-12 14:27 4,141 VundoFix.txt
2007-10-12 11:14 398 avenger.txt
2007-10-12 10:02 103,956 system32.txt
2007-10-12 10:00 1,517 sys.txt
2007-10-12 10:00 291 down.txt
2007-10-12 10:00 386 tmp.txt
2007-10-12 10:00 2,571 system.txt
2007-10-12 09:58 286 systemtemp.txt
2007-10-12 09:35 9,907 ComboFix2.txt
2007-09-12 14:33 317 TO_InstallLog.txt
2007-09-12 12:01 309 ToCaclLg.txt
2007-08-02 11:38 596,119 status.txt



----- System32 -------------------------


Verzeichnis von C:\WINDOWS\system32

2007-10-12 15:05 48,963 addgh.ini
2007-10-12 14:31 1,158 wpa.dbl
2007-10-12 12:20 15 f08c6687
2007-10-12 08:51 44,317 addgh.bak2
2007-10-12 07:34 318,048 hgdda.dll
2007-10-10 15:57 694,141 jgedkwlk.ini
2007-10-09 21:04 694,012 pqvrcswa.ini
2007-10-08 15:29 693,832 rwckgjle.ini
2007-10-07 13:45 693,712 rbkgrkto.ini
2007-10-05 10:07 279,552 swreg.exe
2007-09-30 13:09 6,720 ssvut.ini
2007-09-29 08:50 6,440 ssvut.bak1
2007-09-28 07:19 18,089,592 MRT.exe
2007-09-23 19:45 23,552 yayyvvv.dll
2007-09-21 10:18 165,912 FNTCACHE.DAT
2007-09-20 14:45 15,989 ConvertITP-Deutsch.GID
2007-09-20 14:21 249,856 pdfmona.dll
2007-09-20 14:21 51,716 pdf995mon.dll
2007-09-13 09:05 53,248 RegisterExe.exe
2007-09-12 14:33 27,178 NULL
2007-09-11 19:51 384,930 perfh009.dat
2007-09-11 19:51 54,614 perfc009.dat
2007-09-11 19:51 396,306 perfh007.dat
2007-09-11 19:51 65,800 perfc007.dat
2007-08-30 10:46 249,772 TZLog.log
2007-08-22 14:56 671,232 wininet.dll
2007-08-22 14:56 1,498,112 shdocvw.dll
2007-08-22 14:56 474,624 shlwapi.dll
2007-08-22 14:56 620,032 urlmon.dll
2007-08-22 14:56 532,480 mstime.dll
2007-08-22 14:56 146,432 msrating.dll
2007-08-22 14:56 39,424 pngfilt.dll
2007-08-22 14:56 449,024 mshtmled.dll
2007-08-22 14:56 3,085,824 mshtml.dll
2007-08-22 14:56 16,384 jsproxy.dll
2007-08-22 14:56 205,824 dxtrans.dll
2007-08-22 14:56 96,768 inseng.dll
2007-08-22 14:56 357,888 dxtmsft.dll
2007-08-22 14:56 55,808 extmgr.dll
2007-08-22 14:56 1,056,256 danim.dll
2007-08-22 14:56 251,904 iepeers.dll
2007-08-22 14:56 152,064 cdfview.dll
2007-08-22 14:56 1,022,976 browseui.dll
2007-08-21 12:50 373,760 xpsp3res.dll
2007-08-21 08:16 683,520 inetcomm.dll
2007-07-31 13:59 5,214 jupdate-1.6.0_02-b06.log
2007-07-30 19:20 30,040 wuaucpl.cpl.mui
2007-07-30 19:20 30,040 wuapi.dll.mui
2007-07-30 19:19 1,712,984 wuaueng.dll
2007-07-30 19:19 549,720 wuapi.dll
2007-07-30 19:19 325,976 wucltui.dll
2007-07-30 19:19 203,096 wuweb.dll
2007-07-30 19:19 216,408 wuaucpl.cpl
2007-07-30 19:19 92,504 cdm.dll
2007-07-30 19:19 53,080 wuauclt.exe
2007-07-30 19:19 43,352 wups2.dll
2007-07-30 19:18 34,136 wucltui.dll.mui
2007-07-30 19:18 33,624 wups.dll
2007-07-30 19:18 20,824 wuaueng.dll.mui
2007-07-18 14:42 60,416 tzchange.exe
2007-07-12 19:31 4,254 jupdate-1.6.0_01-b06.log
2007-07-12 02:22 139,264 javaws.exe
2007-07-12 02:22 69,632 javacpl.cpl
2007-07-12 01:22 135,168 javaw.exe
2007-07-12 01:22 135,168 java.exe
2007-07-09 15:11 584,192 rpcrt4.dll


----- Prefetch -------------------------

Verzeichnis von C:\WINDOWS\Prefetch

2007-10-12 15:05 12,034 FIND.EXE-0EC32F1E.pf
2007-10-12 15:05 18,316 CMD.EXE-087B4001.pf
2007-10-12 15:05 34,436 WINRAR.EXE-3588DFE8.pf
2007-10-12 15:02 25,362 HPTSKMGR.EXE-00829595.pf
2007-10-12 15:02 15,658 HPOSM.EXE-27BA0BA0.pf
2007-10-12 14:39 18,314 NOTEPAD.EXE-336351A9.pf
2007-10-12 14:34 100,596 FIREFOX.EXE-1D57670A.pf
2007-10-12 14:34 23,184 GUARDGUI.EXE-1BD45C30.pf
2007-10-12 14:34 26,024 DWWIN.EXE-30875ADC.pf
2007-10-12 14:34 89,906 DUMPREP.EXE-1B46F901.pf
2007-10-12 14:33 48,072 AVSCAN.EXE-05AECC0E.pf
2007-10-12 14:32 54,182 AVCENTER.EXE-37584419.pf
2007-10-12 14:32 53,510 IPODSERVICE.EXE-233792DA.pf
2007-10-12 14:31 21,588 MWLAMAS.EXE-28C7DDFB.pf
2007-10-12 14:31 43,970 WMIPRVSE.EXE-28F301A9.pf
2007-10-12 14:31 11,180 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
2007-10-12 14:31 19,606 TOWLAACF.EXE-1979429E.pf
2007-10-12 14:31 18,532 VPNGUI.EXE-1A96EA9B.pf
2007-10-12 14:31 22,092 WUAUCLT.EXE-399A8E72.pf
2007-10-12 14:31 15,254 SVCHOST.EXE-3530F672.pf
2007-10-12 14:31 55,844 WGATRAY.EXE-0ED38BED.pf
2007-10-12 14:31 14,464 MSMSGS.EXE-32066BA5.pf
2007-10-12 14:31 14,732 CTFMON.EXE-0E17969B.pf
2007-10-12 14:31 14,038 RUNDLL32.EXE-2EF838E6.pf
2007-10-12 14:31 17,460 TOADIMON.EXE-273582D0.pf
2007-10-12 14:31 11,204 JUSCHED.EXE-20EE5D4A.pf
2007-10-12 14:31 15,390 READER_SL.EXE-1EA4C8B2.pf
2007-10-12 14:31 42,322 ITUNESHELPER.EXE-08906EB7.pf
2007-10-12 14:31 25,846 TTTVRC.EXE-2943AAD5.pf
2007-10-12 14:31 48,710 IMAPI.EXE-0BF740A4.pf
2007-10-12 14:31 47,446 PCMSERVICE.EXE-061A4D8C.pf
2007-10-12 14:31 27,064 HPCMPMGR.EXE-37F8BF19.pf
2007-10-12 14:31 35,738 SYNTPENH.EXE-3967AE36.pf
2007-10-12 14:31 52,508 ATIPTAXX.EXE-18FE8D8B.pf
2007-10-12 14:31 28,786 APDPROXY.EXE-0812A8C4.pf
2007-10-12 14:31 6,934 NEROCHECK.EXE-092C6DFA.pf
2007-10-12 14:31 8,390 QTTASK.EXE-2D7EEF34.pf
2007-10-12 14:31 59,884 AVGNT.EXE-36CA4640.pf
2007-10-12 14:31 29,384 SYNTPLPR.EXE-0AB61C3B.pf
2007-10-12 14:31 6,950 ATIPRBXX.EXE-28AA41C0.pf
2007-10-12 14:31 14,492 VERCLSID.EXE-3667BD89.pf
2007-10-12 14:31 506,958 NTOSBOOT-B00DFAAD.pf
2007-10-12 14:27 15,110 REGEDIT.EXE-1B606482.pf
2007-10-12 14:26 10,912 VUNDOFIXSVC.EXE-18ADD79E.pf
2007-10-12 14:26 14,998 RUNDLL32.EXE-2BC5D0D3.pf
2007-10-12 14:26 12,110 SHUTDOWN.EXE-12DAD820.pf
2007-10-12 14:23 73,246 VUNDOFIX.EXE-037EAE57.pf
2007-10-12 14:17 37,372 JUCHECK.EXE-323089AA.pf
2007-10-12 14:17 8,162 JAVA.EXE-1980726E.pf
2007-10-12 13:07 16,596 NOTEPAD.EXE-189578DA.pf
2007-10-12 13:05 18,646 HIJACKTHIS.EXE-307C1D03.pf
2007-10-12 12:51 15,778 AVENGER.EXE-0E5C0169.pf
2007-10-12 12:46 29,262 ALG.EXE-0F138680.pf
2007-10-12 12:42 62,552 EXPLORER.EXE-082F38A9.pf
2007-10-12 12:41 75,446 KILLBOX.EXE-0A121288.pf
2007-10-12 12:39 20,554 WINHLP32.EXE-2C18E975.pf
2007-10-12 12:28 82,228 FIREFOX.EXE-17EE503B.pf
2007-10-12 12:18 17,516 ATI2EVXX.EXE-19D16EB9.pf
2007-10-12 12:18 14,400 USERINIT.EXE-30B18140.pf
2007-10-12 12:16 15,618 SLRUNDLL.EXE-0A50E51B.pf
2007-10-12 12:12 17,914 LOGONUI.EXE-0AF22957.pf
2007-10-12 12:11 30,618 CSCRIPT.EXE-1C26180C.pf
2007-10-12 12:11 12,256 ATTRIB.EXE-39EAFB02.pf
2007-10-12 12:10 36,166 CATCHME.CFEXE-0F2A0789.pf
2007-10-12 12:10 4,994 HANDLE.CFEXE-13427ED2.pf
2007-10-12 12:10 5,166 MTEE.CFEXE-1E067BC7.pf
2007-10-12 12:10 4,340 SF.CFEXE-164B3B2D.pf
2007-10-12 12:10 46,994 DUMPHIVE.CFEXE-2ED3B134.pf
2007-10-12 12:10 21,158 SETPATH.CFEXE-034E3D26.pf
2007-10-12 12:10 6,026 CHCP.COM-18156052.pf
2007-10-12 12:10 3,076 VFIND.CFEXE-2033727F.pf
2007-10-12 12:10 9,718 SWREG.EXE-3688D00C.pf
2007-10-12 12:10 21,144 REGT.CFEXE-15DB5DAE.pf
2007-10-12 12:09 12,374 FINDSTR.EXE-0CA6274B.pf
2007-10-12 12:09 3,886 SED.CFEXE-268D7E58.pf
2007-10-12 12:09 10,890 SWREG.CFEXE-2BF4FFCD.pf
2007-10-12 12:09 15,796 NIRCMD.CFEXE-19FF4781.pf
2007-10-12 12:09 4,388 GREP.CFEXE-20443039.pf
2007-10-12 12:09 9,266 NIRCMD.EXE-1F7FED22.pf
2007-10-12 12:09 51,610 COMBOFIX.EXE-2509DC4B.pf
2007-10-12 11:59 12,382 FIXVUNDO.EXE-2D8191BA.pf
2007-10-12 10:56 15,704 _IU14D2N.TMP-196E72D4.pf
2007-10-12 10:56 18,416 UNINS000.EXE-21ACA383.pf
2007-10-12 10:55 69,350 RUNDLL32.EXE-13404D23.pf
2007-10-12 10:45 12,034 SC.EXE-012262AF.pf
2007-10-12 10:42 68,956 AVNOTIFY.EXE-22AE9451.pf
2007-10-12 10:11 62,514 ANTISPYWAREBOT.EXE-07DB7959.pf
2007-10-12 10:11 21,220 LAUNCHER.EXE-24226EC9.pf
2007-10-12 10:10 20,062 IS-OL9OR.TMP-20FCA453.pf
2007-10-12 10:10 17,924 SETUP.EXE-3562280C.pf
2007-10-12 09:36 10,288 NIRCMD.EXE-2C39EF53.pf
2007-10-12 09:34 2,562 TREE.COM-0A9AA73A.pf
2007-10-12 09:34 11,776 SORT.EXE-194AE83C.pf
2007-10-12 09:33 37,714 FXSSVC.EXE-3B8F7819.pf
2007-10-12 09:33 33,744 CLSCHED.EXE-3A199875.pf
2007-10-12 09:29 5,338 NTRIGHTS.CFEXE-1874F6AB.pf
2007-10-12 09:29 7,432 SWXCACLS.CFEXE-365F7973.pf
2007-10-12 09:29 7,904 SWSC.CFEXE-3B4FE4FE.pf
2007-10-12 09:26 2,994 VFIND.EXE-0CB9A64E.pf
2007-10-12 09:18 57,244 ERUNT.CFEXE-039977DB.pf
2007-10-12 09:12 31,060 IEXPLORE.EXE-2CA9778D.pf
2007-10-12 09:11 14,472 HBTSRV.EXE-1F6BA7A9.pf
2007-10-12 09:11 5,028 HBTOEADDON.EXE-11F61400.pf
2007-10-12 09:11 14,530 AU_.EXE-0B81879B.pf
2007-10-12 09:11 12,080 HBTUNINST.EXE-2536B539.pf
2007-10-12 09:09 8,900 HBTV.EXE-21B34910.pf
2007-10-12 09:09 15,530 IWZNZJOK.EXE-2C6D8B6E.pf
107 Datei(en) 3,221,804 Bytes
0 Verzeichnis(se), 9,884,499,968 Bytes frei

----- Windows --------------------------

Verzeichnis von C:\WINDOWS

2007-10-12 14:31 54,156 QTFont.qfn
2007-10-12 14:30 0 0.log
2007-10-12 14:30 159 wiadebug.log
2007-10-12 14:30 4,052 ModemLog_Smart Link 56K Modem.txt
2007-10-12 14:30 1,434,318 WindowsUpdate.log
2007-10-12 14:30 50 wiaservc.log
2007-10-12 14:28 2,048 bootstat.dat
2007-10-12 12:43 32,618 SchedLgU.Txt
2007-10-11 14:58 5,578 1st-ftp.ini
2007-10-11 09:01 283,736 comsetup.log
2007-10-11 09:01 130,954 iis6.log
2007-10-11 09:01 171,355 ntdtcsetup.log
2007-10-11 09:01 1,393 imsins.log
2007-10-11 09:01 320,447 tsoc.log
2007-10-11 09:01 45,546 ocmsn.log
2007-10-11 09:01 42,709 KB939653.log
2007-10-11 09:01 402,224 ocgen.log
2007-10-11 09:01 41,300 msgsocm.log
2007-10-11 09:01 832,033 FaxSetup.log
2007-10-11 09:01 508,401 setupapi.log
2007-10-11 09:01 63,971 updspapi.log
2007-10-10 15:58 1,393 imsins.BAK
2007-10-10 15:58 11,336 KB933729.log
2007-10-10 15:58 17,165 KB941202.log
2007-09-28 09:06 135,168 catchme.exe
2007-09-20 16:59 702 win.ini
2007-09-20 14:51 1,289 CITP_SearchHistory.INI
2007-09-20 14:24 59 wpd99.drv
2007-09-17 12:19 43 gswin32.ini
2007-09-12 16:07 10,879 KB917021.log
2007-09-12 14:26 231 system.ini
2007-09-12 12:10 116 NeroDigital.ini
2007-08-30 10:46 28,194 KB933360.log
2007-08-17 12:41 46,070 php.ini
2007-08-17 12:36 0 php.ini.txt
2007-08-15 21:54 21,455 KB936021.log
2007-08-15 21:54 20,640 KB938828.log
2007-08-15 21:54 20,788 KB921503.log
2007-08-15 21:54 43,349 KB937143.log
2007-08-15 18:29 24,248 KB938829.log
2007-08-15 18:25 5,047 spupdsvc.log
2007-08-14 21:36 16,405 KB938127.log
2007-08-14 21:35 289,492 msxml4-KB936181-enu.LOG
2007-08-14 21:35 9,766 KB936782.log
2007-08-14 21:35 60,539 wmsetup.log


----- Tasks ----------------------------

Verzeichnis von C:\WINDOWS\tasks

2007-10-12 14:29 6 SA.DAT
2007-10-12 10:11 502 AntiSpywareBot Scheduled Scan.job


----- Wintemp --------------------------
Verzeichnis von C:\WINDOWS\temp

2007-10-12 14:31 409 WGANotify.settings
2007-10-12 14:29 255 WGAErrLog.txt
2007-10-12 09:50 0 T30DebugLogFile.txt


----- Temp -----------------------------


Verzeichnis von C:\DOKUME~1\Inna\LOKALE~1\Temp

2007-10-12 15:05 126,933 filelist.txt
2007-10-12 14:23 32,768 ~DF6121.tmp
2007-10-12 14:17 1,996 jusched.log
2007-10-12 14:14 32,768 ~DF9FC9.tmp
2007-10-12 14:05 32,768 ~DFA8C4.tmp
2007-10-12 13:58 32,768 ~DF88C1.tmp
2007-10-12 12:21 16,384 ~DF174A.tmp
2007-10-12 10:59 32,768 ~DFFCC2.tmp
2007-10-12 10:12 262,144 ~DF58E3.tmp
2007-10-12 10:10 748,377 _iu14D2N.tmp

Alt 12.10.2007, 15:24   #9
Ini
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



Linux Suse:
Kann ich vom reiserfs auf ntfs Partition nur im Lesemodus zugreifen? Kann man das irgendwie ändern?

Alt 12.10.2007, 15:28   #10
myrtille
/// TB-Ausbilder
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



Hi,
mit reiserfs kenn ich mich gar nicht aus, da möchte ich auch keine Empfehlungen geben.
Daher würde ich es weiter auf dem traditionellen Weg versuchen:
Poste bitte mal den Inhalt folgender Dateien unter C:
avenger.txt und combofix2.txt

und lass folgende Dateien bei virustotal auswerten:
Zitat:
C:\WINDOWS\system32\f08c6687
C:\WINDOWS\system32\RegisterExe.exe
lg myrtille

EDIT: Es gibt mittlerweile NTFS-Schreibsupport, der auch relativ stabil läuft. Ob es allerdings sinnvoll ist, für diese Situation jetzt großartig Installationen vorzunehmen ist fraglich.

Geändert von myrtille (12.10.2007 um 15:35 Uhr)

Alt 12.10.2007, 16:19   #11
Ini
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



ComboFix 07-10-12.4 - Inna 2007-10-12 16:58:17.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.34.1031.18.618 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Inna\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\AntiSpywareBot
C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\AntiSpywareBot\Log\2007 Oct 12 - 10_11_11 AM_445.log
C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\AntiSpywareBot\Log\2007 Oct 12 - 10_11_14 AM_770.log
C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\AntiSpywareBot\rs.dat
C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\AntiSpywareBot\Settings\CustomScan.stg
C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\AntiSpywareBot\Settings\IgnoreList.stg
C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\AntiSpywareBot\Settings\ScanInfo.stg
C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\AntiSpywareBot\Settings\ScanResults.stg
C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\AntiSpywareBot\Settings\SelectedFolders.stg
C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\AntiSpywareBot\Settings\Settings.stg
C:\Programme\AntiSpywareBot
C:\Programme\AntiSpywareBot\AntiSpywareBot.exe
C:\sys.txt
C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-12 bis 2007-10-12 ))))))))))))))))))))))))))))))
.

2007-10-12 12:12 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-10-12 09:17 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-12 08:47 <DIR> d-------- C:\VundoFix Backups
2007-10-07 13:45 44,317 ---hs---- C:\WINDOWS\system32\addgh.bak2
2007-10-04 14:36 318,048 --------- C:\WINDOWS\system32\hgdda.dll
2007-09-29 08:50 6,440 ---hs---- C:\WINDOWS\system32\ssvut.bak1
2007-09-24 13:03 <DIR> d-------- C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\CDZilla
2007-09-23 19:45 23,552 --a------ C:\WINDOWS\system32\yayyvvv.dll
2007-09-20 14:36 <DIR> d-------- C:\Programme\Softinterface, Inc
2007-09-20 14:36 1,313,280 --a------ C:\WINDOWS\system32\ISED.DLL
2007-09-20 14:36 761,856 --a------ C:\WINDOWS\system32\FreeImage3.dll
2007-09-20 14:36 761,856 --a------ C:\WINDOWS\system32\FreeImage.dll
2007-09-20 14:36 626,688 --a------ C:\WINDOWS\system32\NCTImageFile.dll
2007-09-20 14:36 278,528 --a------ C:\WINDOWS\system32\AdvImgLib.dll
2007-09-20 14:36 53,248 --a------ C:\WINDOWS\system32\RegisterExe.exe
2007-09-20 14:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
2007-09-20 14:21 249,856 --a------ C:\WINDOWS\system32\pdfmona.dll
2007-09-20 14:21 51,716 --a------ C:\WINDOWS\system32\pdf995mon.dll
2007-09-20 14:19 <DIR> d-------- C:\pdf995
2007-09-12 16:06 476,160 --------- C:\WINDOWS\system32\dllcache\wzcsvc.dll
2007-09-12 16:06 52,736 --------- C:\WINDOWS\system32\dllcache\wzcsapi.dll
2007-09-12 16:06 14,592 --------- C:\WINDOWS\system32\dllcache\ndisuio.sys
2007-09-12 14:31 <DIR> d-------- C:\Programme\T-Online
2007-09-12 13:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2007-09-12 11:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2007-09-12 11:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-11 12:58 --------- d-----w C:\Programme\Evrsoft First Page 2006
2007-10-10 17:48 --------- d-----w C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\Skype
2007-09-20 12:31 --------- d-----w C:\Programme\FreePDF_XP
2007-09-20 12:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-09-12 12:32 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-09-12 12:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Marmiko Shared
2007-09-12 09:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-09-11 17:54 --------- d-----w C:\Programme\GIMP-2.0
2007-09-11 17:39 --------- d-----w C:\Programme\Secret Maryo Chronicles
2007-09-11 16:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2007-09-06 08:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-08-23 18:23 --------- d-----w C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\gtk-2.0
2007-08-22 12:56 96,768 ----a-w C:\WINDOWS\system32\dllcache\inseng.dll
2007-08-22 12:56 671,232 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2007-08-22 12:56 620,032 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-08-22 12:56 55,808 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-08-22 12:56 532,480 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2007-08-22 12:56 474,624 ----a-w C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-08-22 12:56 449,024 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-08-22 12:56 39,424 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-08-22 12:56 357,888 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-08-22 12:56 3,085,824 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-08-22 12:56 251,904 ----a-w C:\WINDOWS\system32\dllcache\iepeers.dll
2007-08-22 12:56 205,824 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-08-22 12:56 16,384 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-08-22 12:56 152,064 ----a-w C:\WINDOWS\system32\dllcache\cdfview.dll
2007-08-22 12:56 146,432 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2007-08-22 12:56 1,498,112 ----a-w C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-08-22 12:56 1,056,256 ----a-w C:\WINDOWS\system32\dllcache\danim.dll
2007-08-22 12:56 1,022,976 ----a-w C:\WINDOWS\system32\dllcache\browseui.dll
2007-08-21 14:25 --------- d-----w C:\Programme\Java
2007-08-21 10:19 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-08-17 10:47 --------- d-----w C:\Programme\php
2007-08-16 09:31 --------- d-----w C:\Programme\Skype
2007-08-16 09:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-08-16 09:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-08-15 16:43 --------- d-----w C:\Programme\Gemeinsame Dateien\GTK
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2005-10-24 06:55 484 ----a-w C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\wklnhst.dat
2005-06-04 17:22 0 ----a-w C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\wklnhst.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4B18DD50-C996-44fc-AC52-0FECFF82ED58}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4BE1A2BF-C544-45C6-87CF-B1C947E521C9}]
2007-10-12 07:34 318048 --------- C:\WINDOWS\system32\hgdda.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{88E3620F-6870-4695-A755-DAFB099A9500}]
C:\WINDOWS\system32\geeda.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A8594EAF-C1D4-4DFD-98B6-2E1002144065}]
C:\WINDOWS\system32\byxwt.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B6A50DD3-BB24-48E4-97B7-4B917E50006C}]
C:\WINDOWS\system32\ljjjh.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CFA49428-AC68-4561-BDBD-EABAB8DCD179}]
C:\WINDOWS\system32\cbxxy.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d708f441-bcdc-4b6f-863b-3d22e2715a19}]
C:\WINDOWS\system32\avlwdwkq.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F5FAD2C4-4D50-4377-9C2C-EA28E9A3B575}]
C:\WINDOWS\system32\xxyyw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FC4F5C80-9F4D-4103-98DC-E0CFDD5BBE8D}]
C:\WINDOWS\system32\pmnmk.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 22:10]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 11:49]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 11:49]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 14:54]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 15:57]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33]
"PCMService"="C:\Programme\CyberLink\PowerCinema\PCMService.exe" [2005-06-20 05:32]
"TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [2005-09-14 13:43]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-07-10 09:18]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 10:04]
"f08c7409"="C:\WINDOWS\system32\klwkdegj.dll" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"Download Master"="C:\Programme\Download Master\dmaster.exe" []
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" []
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-01-17 11:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxwt]
C:\WINDOWS\system32\byxwt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxxy]
C:\WINDOWS\system32\cbxxy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeda]
C:\WINDOWS\system32\geeda.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjjh]
C:\WINDOWS\system32\ljjjh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnmk]
C:\WINDOWS\system32\pmnmk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvss]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyyw]
C:\WINDOWS\system32\xxyyw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayyvvv]
yayyvvv.dll 2007-09-23 19:45 23552 C:\WINDOWS\system32\yayyvvv.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\hgdda.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 prodrv02;prodrv02;C:\WINDOWS\system32\drivers\prodrv02.sys
R2 atjsgt;atjsgt;C:\WINDOWS\system32\DRIVERS\atjsgt.sys
R2 linsgt;linsgt;C:\WINDOWS\system32\DRIVERS\linsgt.sys
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys
R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS
S3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys
S3 MIINPazX;MIINPazX NDIS Protocol Driver;\??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS
S3 USB28xxBGA;Cinergy Hybrid T USB XS;C:\WINDOWS\system32\DRIVERS\emBDA.sys
S3 USB28xxOEM;Cinergy T USB XS Custom Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-12 17:04:10
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\hgdda.dll:SummaryInformation 88 bytes hidden from API
C:\WINDOWS\system32\hgdda.dll:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 0 bytes hidden from API

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"T-Online_Software_6\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
.
Zeit der Fertigstellung: 2007-10-12 17:05:34
C:\ComboFix2.txt ... 2007-10-12 09:35
.
--- E O F ---



Mit Avenger konnte ich das einfache Script:
Files to delete
C:\WINDOWS\syste32\hgdda.dll
leider nicht ausführen! Oder gehört noch was dazu??

Alt 12.10.2007, 16:24   #12
undoreal
/// AVZ-Toolkit Guru
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



Zitat:
Mit Avenger konnte ich das einfache Script:
Files to delete
C:\WINDOWS\syste32\hgdda.dll
leider nicht ausführen! Oder gehört noch was dazu??
kein Wunder:

Zitat:
Scanne versteckte Dateien...

C:\WINDOWS\system32\hgdda.dll:SummaryInformation 88 bytes hidden from API
C:\WINDOWS\system32\hgdda.dll:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 0 bytes hidden from API
da ist was ganz böses im Busch.




Führe bitte noch einige Scans durch:



-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Deinstalliere Java über die Systemsteuerung.

-Lasse Silentrunners laufen und poste die logFiles..

-Scanne deinen Rechner auf Rootkits.


-Folge dieser Anleitung.

-Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

-Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.


PS:

tcpview

1. Das Programm tcpview herunterladen und auf dem Desktop entpacken.
2. Im Ordner tcpview die Datei tcpview.exe starten.
3. Oben links auf das Diskettensymbol klicken und das Logfile abspeichern.
4. Den Inhalt der Logdatei posten.



__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 12.10.2007, 18:05   #13
Ini
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



Vielen Dank!

das sieht nach viel Arbeit aus.

Alt 15.10.2007, 09:25   #14
Ini
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



Ich habe es endlich geschafft diese Datei zu entfernen!
Mit Combofix im abgesicherten Modus!
Hier sind meine Logfiles:

ComboFix 07-10-12.4 2:00]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\HbTools
C:\Programme\HbTools\HBTV\HBTV.exe
C:\Programme\HbTools\HBTV\hbtv_gdf.dat
C:\Programme\HbTools\HBTV\hbtv_kyf.dat
C:\Programme\HbTools\HBTV\hbtv_kyf_update.dat
C:\Programme\HbTools\HBTV\hbtvau.dat
C:\Programme\HbTools\HBTV\HBTVHelper.dll
C:\Programme\Hotbar
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\adeeg.bak1
C:\WINDOWS\system32\adeeg.ini

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-12 bis 2007-10-12 ))))))))))))))))))))))))))))))
.

2007-10-12 09:17 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-12 08:47 <DIR> d-------- C:\VundoFix Backups
2007-10-07 13:45 44,317 ---hs---- C:\WINDOWS\system32\addgh.bak2
2007-10-04 14:36 318,048 --------- C:\WINDOWS\system32\hgdda.dll
2007-10-01 10:21 6,440 ---hs---- C:\WINDOWS\system32\hjjjl.bak1
2007-09-30 13:10 27,976 ---hs---- C:\WINDOWS\system32\yxxbc.bak2
2007-09-29 08:50 6,440 ---hs---- C:\WINDOWS\system32\ssvut.bak1
2007-09-26 18:00 6,477 ---hs---- C:\WINDOWS\system32\wyyxx.bak1
2007-09-26 13:34 6,440 ---hs---- C:\WINDOWS\system32\yxxbc.bak1
2007-09-24 20:00 6,440 ---hs---- C:\WINDOWS\system32\twxyb.bak1
2007-09-24 14:07 6,480 ---hs---- C:\WINDOWS\system32\kmnmp.bak1
2007-09-24 13:03 <DIR> d-------- C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\CDZilla
2007-09-23 19:45 23,552 --a------ C:\WINDOWS\system32\yayyvvv.dll
2007-09-20 14:36 <DIR> d-------- C:\Programme\Softinterface, Inc
2007-09-20 14:36 1,313,280 --a------ C:\WINDOWS\system32\ISED.DLL
2007-09-20 14:36 761,856 --a------ C:\WINDOWS\system32\FreeImage3.dll
2007-09-20 14:36 761,856 --a------ C:\WINDOWS\system32\FreeImage.dll
2007-09-20 14:36 626,688 --a------ C:\WINDOWS\system32\NCTImageFile.dll
2007-09-20 14:36 278,528 --a------ C:\WINDOWS\system32\AdvImgLib.dll
2007-09-20 14:36 53,248 --a------ C:\WINDOWS\system32\RegisterExe.exe
2007-09-20 14:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
2007-09-20 14:21 249,856 --a------ C:\WINDOWS\system32\pdfmona.dll
2007-09-20 14:21 51,716 --a------ C:\WINDOWS\system32\pdf995mon.dll
2007-09-20 14:19 <DIR> d-------- C:\pdf995
2007-09-12 16:06 476,160 --------- C:\WINDOWS\system32\dllcache\wzcsvc.dll
2007-09-12 16:06 52,736 --------- C:\WINDOWS\system32\dllcache\wzcsapi.dll
2007-09-12 16:06 14,592 --------- C:\WINDOWS\system32\dllcache\ndisuio.sys
2007-09-12 14:31 <DIR> d-------- C:\Programme\T-Online
2007-09-12 13:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2007-09-12 11:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2007-09-12 11:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-11 12:58 --------- d-----w C:\Programme\Evrsoft First Page 2006
2007-10-10 17:48 --------- d-----w C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\Skype
2007-09-20 12:31 --------- d-----w C:\Programme\FreePDF_XP
2007-09-20 12:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-09-12 12:32 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-09-12 12:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Marmiko Shared
2007-09-12 09:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-09-11 17:54 --------- d-----w C:\Programme\GIMP-2.0
2007-09-11 17:39 --------- d-----w C:\Programme\Secret Maryo Chronicles
2007-09-11 16:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2007-09-06 08:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-08-23 18:23 --------- d-----w C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\gtk-2.0
2007-08-21 14:25 --------- d-----w C:\Programme\Java
2007-08-17 10:47 --------- d-----w C:\Programme\php
2007-08-16 09:31 --------- d-----w C:\Programme\Skype
2007-08-16 09:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-08-16 09:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-08-15 16:43 --------- d-----w C:\Programme\Gemeinsame Dateien\GTK
2005-10-24 06:55 484 ----a-w C:\Dokumente und Einstellungen\Inna\Anwendungsdaten\wklnhst.dat
2005-06-04 17:22 0 ----a-w C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\wklnhst.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4B18DD50-C996-44fc-AC52-0FECFF82ED58}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{73AD17AF-0A7C-4F3E-8BDC-0934CB1D45A6}]
2007-10-12 07:34 318048 --------- C:\WINDOWS\system32\hgdda.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{88E3620F-6870-4695-A755-DAFB099A9500}]
C:\WINDOWS\system32\geeda.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A8594EAF-C1D4-4DFD-98B6-2E1002144065}]
C:\WINDOWS\system32\byxwt.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B6A50DD3-BB24-48E4-97B7-4B917E50006C}]
C:\WINDOWS\system32\ljjjh.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CFA49428-AC68-4561-BDBD-EABAB8DCD179}]
C:\WINDOWS\system32\cbxxy.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d708f441-bcdc-4b6f-863b-3d22e2715a19}]
C:\WINDOWS\system32\avlwdwkq.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F5FAD2C4-4D50-4377-9C2C-EA28E9A3B575}]
C:\WINDOWS\system32\xxyyw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FC4F5C80-9F4D-4103-98DC-E0CFDD5BBE8D}]
C:\WINDOWS\system32\pmnmk.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 22:10]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 11:49]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 11:49]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 14:54]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 15:57]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33]
"PCMService"="C:\Programme\CyberLink\PowerCinema\PCMService.exe" [2005-06-20 05:32]
"TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [2005-09-14 13:43]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-07-10 09:18]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 10:04]
"f08c7409"="C:\WINDOWS\system32\klwkdegj.dll" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"Download Master"="C:\Programme\Download Master\dmaster.exe" []
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" []
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-01-17 11:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxwt]
C:\WINDOWS\system32\byxwt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxxy]
C:\WINDOWS\system32\cbxxy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeda]
C:\WINDOWS\system32\geeda.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjjh]
C:\WINDOWS\system32\ljjjh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnmk]
C:\WINDOWS\system32\pmnmk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvss]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyyw]
C:\WINDOWS\system32\xxyyw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayyvvv]
yayyvvv.dll 2007-09-23 19:45 23552 C:\WINDOWS\system32\yayyvvv.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\hgdda.dll


.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-12 09:31:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\hgdda.dll:SummaryInformation 88 bytes hidden from API
C:\WINDOWS\system32\hgdda.dll:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 0 bytes hidden from API
**************************************************************************

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"T-Online_Software_6\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
.
Zeit der Fertigstellung: 2007-10-12 9:35:44 - machine was rebooted
.
--- E O F ---



Logfile of HijackThis v1.99.1
Scan saved at 09:51:21, on 15.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\xampp\filezillaftp\filezillaserver.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
c:\programme\antivir personaledition classic\avscan.exe
C:\Dokumente und Einstellungen\Inna\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {88E3620F-6870-4695-A755-DAFB099A9500} - C:\WINDOWS\system32\geeda.dll (file missing)
O2 - BHO: (no name) - {A8594EAF-C1D4-4DFD-98B6-2E1002144065} - C:\WINDOWS\system32\byxwt.dll (file missing)
O2 - BHO: (no name) - {B6A50DD3-BB24-48E4-97B7-4B917E50006C} - C:\WINDOWS\system32\ljjjh.dll (file missing)
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O2 - BHO: (no name) - {CFA49428-AC68-4561-BDBD-EABAB8DCD179} - C:\WINDOWS\system32\cbxxy.dll (file missing)
O2 - BHO: {91a5172e-22d3-b368-f6b4-cdcb144f807d} - {d708f441-bcdc-4b6f-863b-3d22e2715a19} - C:\WINDOWS\system32\avlwdwkq.dll (file missing)
O2 - BHO: (no name) - {F5FAD2C4-4D50-4377-9C2C-EA28E9A3B575} - C:\WINDOWS\system32\xxyyw.dll (file missing)
O2 - BHO: (no name) - {FC4F5C80-9F4D-4103-98DC-E0CFDD5BBE8D} - C:\WINDOWS\system32\pmnmk.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [f08c7409] rundll32.exe "C:\WINDOWS\system32\klwkdegj.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Download Master] C:\Programme\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\system32\textwareilluminatorbaseProtocol.dll
O20 - Winlogon Notify: byxwt - C:\WINDOWS\system32\byxwt.dll (file missing)
O20 - Winlogon Notify: cbxxy - C:\WINDOWS\system32\cbxxy.dll (file missing)
O20 - Winlogon Notify: geeda - C:\WINDOWS\system32\geeda.dll (file missing)
O20 - Winlogon Notify: ljjjh - C:\WINDOWS\system32\ljjjh.dll (file missing)
O20 - Winlogon Notify: pmnmk - C:\WINDOWS\system32\pmnmk.dll (file missing)
O20 - Winlogon Notify: tuvss - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: xxyyw - C:\WINDOWS\system32\xxyyw.dll (file missing)
O20 - Winlogon Notify: yayyvvv - C:\WINDOWS\SYSTEM32\yayyvvv.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


alg.exe:2520 TCP Inna-Kurt:1028 Inna-Kurt:0 LISTENING
AppleMobileDeviceService.exe:1844 TCP Inna-Kurt:27015 localhost:1050 ESTABLISHED
AppleMobileDeviceService.exe:1844 TCP Inna-Kurt:27015 Inna-Kurt:0 LISTENING
CLMLService.exe:276 TCP Inna-Kurt:12346 Inna-Kurt:0 LISTENING
CLMLService.exe:276 UDP Inna-Kurt:1025 *:*
cvpnd.exe:1672 TCP Inna-Kurt:62514 Inna-Kurt:0 LISTENING
cvpnd.exe:1672 UDP Inna-Kurt:62514 *:*
FileZillaServer.exe:248 TCP Inna-Kurt:14147 Inna-Kurt:0 LISTENING
FileZillaServer.exe:248 TCP Inna-Kurt:ftp Inna-Kurt:0 LISTENING
firefox.exe:2532 TCP Inna-Kurt:1092 localhost:1091 ESTABLISHED
firefox.exe:2532 TCP Inna-Kurt:1094 localhost:1093 ESTABLISHED
firefox.exe:2532 TCP Inna-Kurt:1091 localhost:1092 ESTABLISHED
firefox.exe:2532 TCP Inna-Kurt:1093 localhost:1094 ESTABLISHED
firefox.exe:2532 TCP inna-kurt:1167 fk-in-f99.google.com:http ESTABLISHED
firefox.exe:2532 TCP inna-kurt:1170 fg-in-f99.google.com:http ESTABLISHED
iTunesHelper.exe:3700 TCP Inna-Kurt:1050 localhost:27015 ESTABLISHED
lsass.exe:1244 UDP Inna-Kurt:isakmp *:*
lsass.exe:1244 UDP Inna-Kurt:4500 *:*
svchost.exe:1500 TCP Inna-Kurt:epmap Inna-Kurt:0 LISTENING
svchost.exe:1640 TCP 169.254.109.229:netbios-ssn Inna-Kurt:0 LISTENING
svchost.exe:1640 UDP 169.254.109.229:ntp *:*
svchost.exe:1640 UDP inna-kurt:ntp *:*
svchost.exe:1640 UDP Inna-Kurt:ntp *:*
svchost.exe:1640 UDP 169.254.109.229:netbios-ns *:*
svchost.exe:1640 UDP 169.254.109.229:netbios-dgm *:*
svchost.exe:1680 UDP Inna-Kurt:1063 *:*
svchost.exe:1680 UDP Inna-Kurt:1056 *:*
svchost.exe:1680 UDP Inna-Kurt:1057 *:*
svchost.exe:1852 TCP inna-kurt:2869 192.168.2.1:2224 CLOSE_WAIT
svchost.exe:1852 TCP Inna-Kurt:2869 Inna-Kurt:0 LISTENING
svchost.exe:1852 UDP 169.254.109.229:1900 *:*
svchost.exe:1852 UDP inna-kurt:1900 *:*
svchost.exe:1852 UDP Inna-Kurt:1900 *:*
System:4 TCP Inna-Kurt:microsoft-ds Inna-Kurt:0 LISTENING
System:4 TCP inna-kurt:netbios-ssn Inna-Kurt:0 LISTENING
System:4 UDP inna-kurt:netbios-dgm *:*
System:4 UDP Inna-Kurt:microsoft-ds *:*
System:4 UDP inna-kurt:netbios-ns *:*
Tcpview.exe:3644 UDP Inna-Kurt:1175 *:*

Danke noch mal für eure Hilfe!!!!

Alt 15.10.2007, 11:35   #15
undoreal
/// AVZ-Toolkit Guru
 
TR/Vundo.Gen lässt sich nicht entfernen - Standard

TR/Vundo.Gen lässt sich nicht entfernen



Zitat:
Ich habe es endlich geschafft diese Datei zu entfernen!
bist du dir da sicher?

Aus dem Combofix log geht keine Löschung hervor und dein Rechner ist auf jeden Fall noch dickstens verseucht!

Hast du die Rootkit scans gemacht?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu TR/Vundo.Gen lässt sich nicht entfernen
adobe, antivir, antivir meldet, avira, bho, cyberlink, downloader, entfernen, excel, explorer, fehler, firefox, hijackthis, hilfe!!, hilfe!!!, internet, internet explorer, lässt sich nicht entfernen, mozilla, mozilla firefox, object, photoshop, remote control, rundll, software, system, t-online, tr/vundo.gen, trojaner, warnung, windows, windows xp



Ähnliche Themen: TR/Vundo.Gen lässt sich nicht entfernen


  1. Windows7 taskmgr lässt sich nicht starten, Avira Echtzeitscanner lässt sich nicht aktivieren, USB wird nicht angenommen, ohne Meldung,
    Log-Analyse und Auswertung - 01.06.2015 (15)
  2. Laptop ruckelt nur noch, Iminent lässt sich nicht löschen und Radio schaltet sich alleine an und aus und lässt sich ebenfalls nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 27.06.2014 (3)
  3. SECURITY TOOL WARNUNG öffnet sich andauernd und lässt sich nicht entfernen!
    Log-Analyse und Auswertung - 03.10.2010 (1)
  4. Spybot+Firefox hängen sich auf / Windows Security Alert lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 11.05.2010 (15)
  5. TR/Vundo.Gen lässt sich nicht bereinigen
    Plagegeister aller Art und deren Bekämpfung - 08.03.2009 (6)
  6. Vundo.og - Windows lässt sich nicht neu installieren
    Plagegeister aller Art und deren Bekämpfung - 18.12.2008 (6)
  7. Virus lässt sich nicht löschen. TR/Vundo.Gen
    Log-Analyse und Auswertung - 10.12.2008 (2)
  8. Vundo.H lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 18.11.2008 (6)
  9. TR/Vundo.Gen lässt sich nicht löschen!!
    Mülltonne - 07.11.2008 (0)
  10. TR/Vundo.Gen lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 11.08.2008 (1)
  11. TR/Vundo.gen lässt sich nicht löschen
    Mülltonne - 06.05.2008 (0)
  12. Trojan.Vundo.DVD lässt sich nicht entfernen
    Log-Analyse und Auswertung - 16.01.2008 (4)
  13. Pls help! TR/Vundo.Gen lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 08.11.2007 (3)
  14. Vundo? - lässt sich nicht entfernen
    Log-Analyse und Auswertung - 29.07.2007 (7)
  15. TR/Vundo.GEn lässt sich nicht löschen!!!
    Log-Analyse und Auswertung - 10.05.2007 (14)
  16. Lässt sich nicht entfernen
    Log-Analyse und Auswertung - 07.05.2006 (10)
  17. CWS lässt sich nicht entfernen
    Log-Analyse und Auswertung - 28.06.2004 (1)

Zum Thema TR/Vundo.Gen lässt sich nicht entfernen - Hallo, ich habe auch ein Trojaner auf meinem Rechner. Der Antivir meldet folgendes: Beginne mit der Suche in 'C:\WINDOWS\system32' C:\WINDOWS\system32\hgdda.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [WARNUNG] Beim Versuch eine - TR/Vundo.Gen lässt sich nicht entfernen...
Archiv
Du betrachtest: TR/Vundo.Gen lässt sich nicht entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.