Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Vundo.gen, bitte um hilfe!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.11.2007, 21:01   #1
cobol
 
Vundo.gen, bitte um hilfe! - Standard

Vundo.gen, bitte um hilfe!



Hallo erstmal an alle!
Habe heute einen scan mit antivir durchgeführt der auch promt angeblich den trojaner vondu.gen gefunden hat in c:\windows\system32\vtsqo.dll
Habe die Datei auch schon bei virustotal checken lassen dabei kam folgendes raus:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.16.0 2007.11.15 -
AntiVir 7.6.0.34 2007.11.15 TR/Vundo.Gen
Authentium 4.93.8 2007.11.15 -
Avast 4.7.1074.0 2007.11.14 -
AVG 7.5.0.503 2007.11.15 -
BitDefender 7.2 2007.11.15 -
CAT-QuickHeal 9.00 2007.11.15 -
ClamAV 0.91.2 2007.11.15 -
DrWeb 4.44.0.09170 2007.11.15 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.2.5297 2007.11.15 -
Ewido 4.0 2007.11.15 -
FileAdvisor 1 2007.11.15 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.14 -
F-Secure 6.70.13030.0 2007.11.15 -
Ikarus T3.1.1.12 2007.11.15 -
Kaspersky 7.0.0.125 2007.11.15 -
McAfee 5164 2007.11.15 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2661 2007.11.15 -
Norman 5.80.02 2007.11.15 -
Panda 9.0.0.4 2007.11.15 Suspicious file
Prevx1 V2 2007.11.15 Trojan.Vundo
Rising 20.18.31.00 2007.11.15 -
Sophos 4.23.0 2007.11.15 -
Sunbelt 2.2.907.0 2007.11.15 -
Symantec 10 2007.11.15 -
TheHacker 6.2.9.129 2007.11.15 -
VBA32 3.12.2.5 2007.11.15 -
VirusBuster 4.3.26:9 2007.11.15 -
Webwasher-Gateway 6.0.1 2007.11.15 Trojan.Vundo.Gen
weitere Informationen
File size: 317536 bytes
MD5: e8c640c06c9584b52c1fdae750e6a4cb
SHA1: f5813a8ee6ba2f9745856b36a28567c32a1828a8
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=E60E7604607CCCDAD8C8040711A86200AD306EEC

so und beim HijackThis log kam das raus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:54, on 15.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ""
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 5234 bytes

Habe daraufhin hier im Forum etwas über vundofix gelesen und über den geposteten link das programm rutnergeladen und drüberlaufen lassen aber er sagt da wäre keine infizierte datei mit vundo.gen.

ich versteh jetz gar nix mehr, ist das nun vundo.gen oder nur ein fehlalarm und wenn er es ist wie bekomm ich ihn los, wenn es mit vundofix nicht geht?

vielen dank schonmal für eure hilfe.

MfG
Cobol

Alt 15.11.2007, 21:11   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vundo.gen, bitte um hilfe! - Standard

Vundo.gen, bitte um hilfe!



Hallo.

Logfile sieht okay aus, aber du wirst vermutlich noch einige Dateien im System haben.

Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
- combofix
__________________

__________________

Alt 15.11.2007, 21:23   #3
cobol
 
Vundo.gen, bitte um hilfe! - Standard

Vundo.gen, bitte um hilfe!



hallo cosinus, danke für deine Hilfe erstmal,
hab combofix drüberlaufen lassen und das log kam dabei raus:

ComboFix 07-11-08.1 - xisu 2007-11-15 22:17:54.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.610 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xisu\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

Nicht in der Lage Systemrechte zu erhalten

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\oqstv.ini
C:\WINDOWS\system32\oqstv.ini2
C:\WINDOWS\system32\vtsqo.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-15 bis 2007-11-15 ))))))))))))))))))))))))))))))
.

2007-11-15 22:17 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-15 21:51 <DIR> d-------- C:\Programme\Trend Micro
2007-11-15 21:29 <DIR> d-------- C:\VundoFix Backups
2007-11-14 15:45 36,352 --a------ C:\WINDOWS\system32\iifedcd.dll
2007-11-14 15:44 36,352 --a------ C:\WINDOWS\system32\ddcawwu.dll
2007-11-08 11:27 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-11-08 11:27 <DIR> d-------- C:\Programme\QuickTime
2007-11-08 11:27 <DIR> d-------- C:\Programme\iTunes
2007-11-08 11:27 <DIR> d-------- C:\Programme\iPod
2007-11-08 11:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2007-11-08 11:27 <DIR> d-------- C:\Programme\Apple Software Update
2007-11-08 11:27 <DIR> d-------- C:\Dokumente und Einstellungen\xisu\Anwendungsdaten\Apple Computer
2007-11-08 11:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-11-08 11:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-11-07 12:32 <DIR> d-------- C:\Programme\WinSCP
2007-11-07 12:19 <DIR> d-------- C:\Programme\Innovator
2007-10-29 15:10 <DIR> d-------- C:\Programme\ICQ
2007-10-27 00:27 41 --a------ C:\WINDOWS\popcinfo.dat
2007-10-26 16:01 <DIR> d-------- C:\Programme\Shockwave.com
2007-10-26 10:54 <DIR> d-------- C:\Programme\PopCap Games
2007-10-26 10:54 <DIR> d-------- C:\Program Files
2007-10-26 10:54 203 ---h----- C:\WINDOWS\popcreg.dat
2007-10-26 10:54 94 --a------ C:\WINDOWS\popcinfot.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-05 18:55 --------- d-----w C:\Programme\Java
2007-10-05 18:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-09-28 12:06 --------- d-----w C:\Dokumente und Einstellungen\xisu\Anwendungsdaten\EPSON
2007-09-26 13:41 --------- d-----w C:\Dokumente und Einstellungen\xisu\Anwendungsdaten\ScummVM
2007-09-26 12:34 --------- d-----w C:\Programme\ScummVM
2007-09-20 10:10 --------- d-----w C:\Programme\ahead
2007-09-20 10:01 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-09-20 10:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
2007-09-20 09:59 --------- d-----w C:\Programme\epson
2007-09-17 18:47 --------- d-----w C:\Dokumente und Einstellungen\xisu\Anwendungsdaten\Lionhead Studios
2007-09-17 18:45 97,792 ----a-w C:\WINDOWS\system32\drivers\ACEDRV05.sys
2007-09-17 18:44 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll
2007-09-17 18:44 --------- d-----w C:\Programme\directx
2007-09-17 18:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oberon Media
2007-09-17 15:32 27,648 ----a-w C:\WINDOWS\system32\drivers\iteatapi.sys
2007-09-17 14:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-09-17 14:12 --------- d-----w C:\Programme\Winamp
2007-09-17 14:03 --------- d-----w C:\Programme\RegCleaner
2007-09-17 13:56 --------- d-----w C:\Programme\CCleaner
2007-09-17 13:48 --------- d-----w C:\Programme\Lavasoft
2007-09-17 13:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-09-17 13:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-09-17 13:31 --------- d-----w C:\Programme\Avira
2007-09-17 13:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-09-17 13:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-09-16 12:22 --------- d-----w C:\Programme\DAEMON Tools
2007-09-16 12:20 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-09-16 12:19 --------- d-----w C:\Dokumente und Einstellungen\xisu\Anwendungsdaten\uTorrent
2007-09-16 10:47 15,600 ----a-w C:\WINDOWS\gdrv.sys
2007-09-16 10:07 --------- d-----w C:\Programme\uTorrent
2007-09-16 00:57 --------- d-----w C:\Programme\Paragon Software
2007-09-16 00:54 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-09-15 23:24 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-09-15 23:24 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-09-15 23:15 --------- d-----w C:\Programme\Intel
2007-09-15 23:14 --------- d-----w C:\Programme\Marvell
2007-09-15 23:10 294,912 ----a-w C:\WINDOWS\HideWin.exe
2007-09-15 23:09 --------- d-----w C:\Programme\Realtek
2007-09-15 22:32 --------- d-----w C:\Programme\microsoft frontpage
2007-09-15 22:31 --------- d-----w C:\Programme\Online-Dienste
2007-09-15 22:30 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-09-15 22:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BBB05D9E-0297-404D-A6BF-D8F2876B84A6}]
2007-11-14 15:44 36352 --a------ C:\WINDOWS\system32\ddcawwu.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2005-05-25 16:37 C:\WINDOWS\RTHDCPL.EXE]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-06-28 23:43]
"nwiz"="nwiz.exe" [2007-06-28 23:43 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-06-28 23:43]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 15:42]
"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.exe" [2005-02-08 05:00]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"Mirabilis ICQ"="C:\Programme\ICQ\NDetect.exe" [2002-11-17 10:31]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-10-19 20:16]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-11-02 18:36]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-29 16:09]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-03 23:58]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ"=C:\Programme\ICQ\ICQ.exe -trayboot

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{BBB05D9E-0297-404D-A6BF-D8F2876B84A6}"= C:\WINDOWS\system32\ddcawwu.dll [2007-11-14 15:44 36352]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcawwu]
ddcawwu.dll 2007-11-14 15:44 36352 C:\WINDOWS\system32\ddcawwu.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\vtsqo.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

R0 hotcore3;hotcore3;C:\WINDOWS\system32\drivers\hotcore3.sys
S3 gdrv;gdrv;\??\C:\WINDOWS\gdrv.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8cb7a7b7-644f-11dc-a24c-0015f2058402}]
\Shell\AutoRun\command - H:\laucher.exe

*Newly Created Service* - HTTPFILTER
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-15 22:22:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-15 22:22:26 - machine was rebooted
.
--- E O F ---
so und bei silentrunners kam das raus:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"EPSON Stylus DX3800 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"" ["SEIKO EPSON CORPORATION"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Mirabilis ICQ" = "C:\Programme\ICQ\NDetect.exe" [null data]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{BBB05D9E-0297-404D-A6BF-D8F2876B84A6}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ddcawwu.dll" [null data]
{C05C6CB8-4BB9-4A59-8FC9-4ACA0C19CB36}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\vtsqo.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {HKLM...CLSID} = "ICQ Shell Extension"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{BBB05D9E-0297-404D-A6BF-D8F2876B84A6}" = "*i" (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ddcawwu.dll" [null data]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> ddcawwu\DLLName = "ddcawwu.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "E:\Stuff\Bilder\sentenced wall-paper.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "E:\Stuff\Bilder\sentenced wall-paper.bmp"


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\Programme\ICQ\ICQ.exe" ["ICQ Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON Stylus DX3800 Series 2KMonitor5E\Driver = "E_FLMACE.DLL" ["SEIKO EPSON CORPORATION"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2007-11-15 22:16:27)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 42 seconds, including 22 seconds for message boxes)
das escan log folgt noch aber wie siehts denn bisher aus und eine frage nebenbei was macht vundogen eigentlich?
mfg
cobol
__________________

Alt 15.11.2007, 21:33   #4
cobol
 
Vundo.gen, bitte um hilfe! - Standard

Vundo.gen, bitte um hilfe!



Nochmal Hallo Cosinus,

hab hier im Forum noch ein Programm gefunden das sich virtomundobegone nennt und das ausgeführt das logfile von dem sieht wie folgt aus:


[11/15/2007, 22:28:41] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\xisu\Desktop\VirtumundoBeGone.exe" )
[11/15/2007, 22:28:47] - Detected System Information:
[11/15/2007, 22:28:47] - Windows Version: 5.1.2600, Service Pack 2
[11/15/2007, 22:28:47] - Current Username: xisu (Admin)
[11/15/2007, 22:28:47] - Windows is in NORMAL mode.
[11/15/2007, 22:28:47] - Searching for Browser Helper Objects:
[11/15/2007, 22:28:47] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader)
[11/15/2007, 22:28:47] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[11/15/2007, 22:28:47] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[11/15/2007, 22:28:47] - BHO 4: {BBB05D9E-0297-404D-A6BF-D8F2876B84A6} ()
[11/15/2007, 22:28:47] - WARNING: BHO has no default name. Checking for Winlogon reference.
[11/15/2007, 22:28:47] - Checking for HKLM\...\Winlogon\Notify\ddcawwu
[11/15/2007, 22:28:47] - Found: HKLM\...\Winlogon\Notify\ddcawwu - This is probably Virtumundo.
[11/15/2007, 22:28:47] - Assigning {BBB05D9E-0297-404D-A6BF-D8F2876B84A6} MSEvents Object
[11/15/2007, 22:28:47] - BHO list has been changed! Starting over...
[11/15/2007, 22:28:47] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader)
[11/15/2007, 22:28:47] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[11/15/2007, 22:28:47] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[11/15/2007, 22:28:47] - BHO 4: {BBB05D9E-0297-404D-A6BF-D8F2876B84A6} (MSEvents Object)
[11/15/2007, 22:28:47] - ALERT: Found MSEvents Object!
[11/15/2007, 22:28:47] - Finished Searching Browser Helper Objects
[11/15/2007, 22:28:47] - *** Detected MSEvents Object
[11/15/2007, 22:28:47] - Trying to remove MSEvents Object...
[11/15/2007, 22:28:48] - Terminating Process: IEXPLORE.EXE
[11/15/2007, 22:28:49] - Terminating Process: RUNDLL32.EXE
[11/15/2007, 22:28:49] - Disabling Automatic Shell Restart
[11/15/2007, 22:28:49] - Terminating Process: EXPLORER.EXE
[11/15/2007, 22:28:49] - Suspending the NT Session Manager System Service
[11/15/2007, 22:28:49] - Terminating Windows NT Logon/Logoff Manager
[11/15/2007, 22:28:49] - Re-enabling Automatic Shell Restart
[11/15/2007, 22:28:49] - File to disable: C:\WINDOWS\system32\ddcawwu.dll
[11/15/2007, 22:28:49] - Renaming C:\WINDOWS\system32\ddcawwu.dll -> C:\WINDOWS\system32\ddcawwu.dll.vir
[11/15/2007, 22:28:49] - File successfully renamed!
[11/15/2007, 22:28:49] - Removing HKLM\...\Browser Helper Objects\{BBB05D9E-0297-404D-A6BF-D8F2876B84A6}
[11/15/2007, 22:28:49] - Removing HKCR\CLSID\{BBB05D9E-0297-404D-A6BF-D8F2876B84A6}
[11/15/2007, 22:28:49] - Adding Kill Bit for ActiveX for GUID: {BBB05D9E-0297-404D-A6BF-D8F2876B84A6}
[11/15/2007, 22:28:49] - Deleting ATLEvents/MSEvents Registry entries
[11/15/2007, 22:28:49] - Removing HKLM\...\Winlogon\Notify\ddcawwu
[11/15/2007, 22:28:49] - Searching for Browser Helper Objects:
[11/15/2007, 22:28:49] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader)
[11/15/2007, 22:28:49] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[11/15/2007, 22:28:49] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[11/15/2007, 22:28:49] - Finished Searching Browser Helper Objects
[11/15/2007, 22:28:49] - Finishing up...
[11/15/2007, 22:28:49] - A restart is needed.
[11/15/2007, 22:28:57] - Attempting to Restart via STOP error (Blue Screen!)

hoffe das hilft, weil escan kann ich leider erst morgen machen.
und wie stehts um meinen rechner?

MfG
cobol

Alt 15.11.2007, 21:50   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vundo.gen, bitte um hilfe! - Standard

Vundo.gen, bitte um hilfe!



Vundo versuchen wir gerade aufzuspüren
Ich hab da ein paar merkwürdige Dateien gesehen:

Code:
ATTFilter
C:\WINDOWS\system32\iifedcd.dll
C:\WINDOWS\system32\ddcawwu.dll.vir
C:\WINDOWS\system32\drivers\iteatapi.sys
C:\WINDOWS\popcinfo.dat
C:\WINDOWS\popcreg.dat
C:\WINDOWS\popcinfot.dat
C:\WINDOWS\gdrv.sys
C:\WINDOWS\system32\drivers\sptd.sys
C:\WINDOWS\HideWin.exe
         
Es sind wahrscheinlich nicht alle schlecht, aber diese hier

C:\WINDOWS\system32\iifedcd.dll
C:\WINDOWS\system32\ddcawwu.dll.vir

sollten wohl zum Vundo gehören. Werte trotzdem mal alle o.g. genannten Dateien bei Virustotal aus und poste die Ergebnisse. Bei einigen Dateien könnten durch das letzte von dir eingesetzte tool VirtumundoBeGone v1.5 umbenannt worden sein (.vir dran)

Geh auch mal in die registry und navigiere zu

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

Der Eintrag {BBB05D9E-0297-404D-A6BF-D8F2876B84A6} müsste m.E. gelöscht werden. Sei vorsichtig im Umgang mit regedit!!

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.11.2007, 16:03   #6
cobol
 
Vundo.gen, bitte um hilfe! - Standard

Vundo.gen, bitte um hilfe!



Hallo Cosinus,
also die beiden dateien C:\WINDOWS\system32\iifedcd.dll C:\WINDOWS\system32\ddcawwu.dll.vir sind nicht dabzw liegen im ordner qoobox, der von virtumondabegone angelegt wurde.
Der von dir genannte reg Eintrag ist auch nirgends zu finden.

so und hier nun die vt logs die du haben wolltest:
popcinfot.dat:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.16.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 -
Authentium 4.93.8 2007.11.15 -
Avast 4.7.1074.0 2007.11.15 -
AVG 7.5.0.503 2007.11.16 -
BitDefender 7.2 2007.11.16 -
CAT-QuickHeal 9.00 2007.11.16 -
ClamAV 0.91.2 2007.11.16 -
DrWeb 4.44.0.09170 2007.11.16 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.2.5300 2007.11.16 -
Ewido 4.0 2007.11.16 -
FileAdvisor 1 2007.11.16 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.16 -
F-Secure 6.70.13030.0 2007.11.16 -
Ikarus T3.1.1.12 2007.11.16 -
Kaspersky 7.0.0.125 2007.11.16 -
McAfee 5164 2007.11.15 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2663 2007.11.16 -
Norman 5.80.02 2007.11.16 -
Panda 9.0.0.4 2007.11.16 -
Prevx1 V2 2007.11.16 -
Rising 20.18.40.00 2007.11.16 -
Sophos 4.23.0 2007.11.16 -
Sunbelt 2.2.907.0 2007.11.16 -
Symantec 10 2007.11.16 -
TheHacker 6.2.9.130 2007.11.15 -
VBA32 3.12.2.5 2007.11.16 -
VirusBuster 4.3.26:9 2007.11.16 -
Webwasher-Gateway 6.0.1 2007.11.16 -
weitere Informationen
File size: 94 bytes
MD5: f25eb1dc268917d806383ccd08b97278
SHA1: 65f8729451fb6193029982e1414d66994e023ee4

popcinfo.dat:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.16.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 -
Authentium 4.93.8 2007.11.15 -
Avast 4.7.1074.0 2007.11.15 -
AVG 7.5.0.503 2007.11.16 -
BitDefender 7.2 2007.11.16 -
CAT-QuickHeal 9.00 2007.11.16 -
ClamAV 0.91.2 2007.11.16 -
DrWeb 4.44.0.09170 2007.11.16 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.2.5300 2007.11.16 -
Ewido 4.0 2007.11.16 -
FileAdvisor 1 2007.11.16 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.16 -
F-Secure 6.70.13030.0 2007.11.16 -
Ikarus T3.1.1.12 2007.11.16 -
Kaspersky 7.0.0.125 2007.11.16 -
McAfee 5164 2007.11.15 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2663 2007.11.16 -
Norman 5.80.02 2007.11.16 -
Panda 9.0.0.4 2007.11.16 -
Prevx1 V2 2007.11.16 -
Rising 20.18.40.00 2007.11.16 -
Sophos 4.23.0 2007.11.16 -
Sunbelt 2.2.907.0 2007.11.16 -
Symantec 10 2007.11.16 -
TheHacker 6.2.9.130 2007.11.15 -
VBA32 3.12.2.5 2007.11.16 -
VirusBuster 4.3.26:9 2007.11.16 -
Webwasher-Gateway 6.0.1 2007.11.16 -
weitere Informationen
File size: 41 bytes
MD5: 8b432383b90cbb2b2918f66057f6eb7b
SHA1: 5af16a77da6d6d08c9b4378f33519e88b238957d

popcreg.dat:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.16.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 -
Authentium 4.93.8 2007.11.15 -
Avast 4.7.1074.0 2007.11.15 -
AVG 7.5.0.503 2007.11.16 -
BitDefender 7.2 2007.11.16 -
CAT-QuickHeal 9.00 2007.11.16 -
ClamAV 0.91.2 2007.11.16 -
DrWeb 4.44.0.09170 2007.11.16 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.2.5300 2007.11.16 -
Ewido 4.0 2007.11.16 -
FileAdvisor 1 2007.11.16 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.16 -
F-Secure 6.70.13030.0 2007.11.16 -
Ikarus T3.1.1.12 2007.11.16 -
Kaspersky 7.0.0.125 2007.11.16 -
McAfee 5164 2007.11.15 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2664 2007.11.16 -
Norman 5.80.02 2007.11.16 -
Panda 9.0.0.4 2007.11.16 -
Prevx1 V2 2007.11.16 -
Rising 20.18.40.00 2007.11.16 -
Sophos 4.23.0 2007.11.16 -
Sunbelt 2.2.907.0 2007.11.16 -
Symantec 10 2007.11.16 -
TheHacker 6.2.9.130 2007.11.15 -
VBA32 3.12.2.5 2007.11.16 -
VirusBuster 4.3.26:9 2007.11.16 -
Webwasher-Gateway 6.0.1 2007.11.16 -
weitere Informationen
File size: 203 bytes
MD5: ab77b6b41ecea4c85463fd5261aa619d
SHA1: 220820564b5130718ee73a73eee7cc3cd1a6379f

gdrv.sys:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.16.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 -
Authentium 4.93.8 2007.11.15 -
Avast 4.7.1074.0 2007.11.15 -
AVG 7.5.0.503 2007.11.16 -
BitDefender 7.2 2007.11.16 -
CAT-QuickHeal 9.00 2007.11.16 -
ClamAV 0.91.2 2007.11.16 -
DrWeb 4.44.0.09170 2007.11.16 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.2.5300 2007.11.16 -
Ewido 4.0 2007.11.16 -
FileAdvisor 1 2007.11.16 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.16 -
F-Secure 6.70.13030.0 2007.11.16 -
Ikarus T3.1.1.12 2007.11.16 -
Kaspersky 7.0.0.125 2007.11.16 -
McAfee 5164 2007.11.15 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2664 2007.11.16 -
Norman 5.80.02 2007.11.16 -
Panda 9.0.0.4 2007.11.16 -
Prevx1 V2 2007.11.16 -
Rising 20.18.40.00 2007.11.16 -
Sophos 4.23.0 2007.11.16 -
Sunbelt 2.2.907.0 2007.11.16 -
Symantec 10 2007.11.16 -
TheHacker 6.2.9.130 2007.11.15 -
VBA32 3.12.2.5 2007.11.16 -
VirusBuster 4.3.26:9 2007.11.16 -
Webwasher-Gateway 6.0.1 2007.11.16 -
weitere Informationen
File size: 15600 bytes
MD5: 54789f9ba0d59072cdd4e7c200e122c4
SHA1: b6dcd6266b6438934acebc1af82cde318c43cbd5

hidewin.exe:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.16.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 -
Authentium 4.93.8 2007.11.15 -
Avast 4.7.1074.0 2007.11.15 -
AVG 7.5.0.503 2007.11.16 -
BitDefender 7.2 2007.11.16 -
CAT-QuickHeal 9.00 2007.11.16 -
ClamAV 0.91.2 2007.11.16 -
DrWeb 4.44.0.09170 2007.11.16 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.2.5300 2007.11.16 -
Ewido 4.0 2007.11.16 -
FileAdvisor 1 2007.11.16 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.16 -
F-Secure 6.70.13030.0 2007.11.16 -
Ikarus T3.1.1.12 2007.11.16 -
Kaspersky 7.0.0.125 2007.11.16 -
McAfee 5164 2007.11.15 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2664 2007.11.16 -
Norman 5.80.02 2007.11.16 -
Panda 9.0.0.4 2007.11.16 -
Prevx1 V2 2007.11.16 -
Rising 20.18.40.00 2007.11.16 -
Sophos 4.23.0 2007.11.16 -
Sunbelt 2.2.907.0 2007.11.16 -
Symantec 10 2007.11.16 -
TheHacker 6.2.9.130 2007.11.15 -
VBA32 3.12.2.5 2007.11.16 -
VirusBuster 4.3.26:9 2007.11.16 -
Webwasher-Gateway 6.0.1 2007.11.16 -
weitere Informationen
File size: 294912 bytes
MD5: 7ed775943e1107afe67f8ac369b09a3e
SHA1: af0774266e7d1bb4803fcfe4d4a53c1dcdcd463e

iteatapi.sys (ich glaube das gehört zu meinem asus mainboard, weil da habe ich einen ite atapi treiber installieren müssen):
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.16.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 -
Authentium 4.93.8 2007.11.15 -
Avast 4.7.1074.0 2007.11.15 -
AVG 7.5.0.503 2007.11.16 -
BitDefender 7.2 2007.11.16 -
CAT-QuickHeal 9.00 2007.11.16 -
ClamAV 0.91.2 2007.11.16 -
DrWeb 4.44.0.09170 2007.11.16 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.2.5300 2007.11.16 -
Ewido 4.0 2007.11.16 -
FileAdvisor 1 2007.11.16 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.16 -
F-Secure 6.70.13030.0 2007.11.16 -
Ikarus T3.1.1.12 2007.11.16 -
Kaspersky 7.0.0.125 2007.11.16 -
McAfee 5164 2007.11.15 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2664 2007.11.16 -
Norman 5.80.02 2007.11.16 -
Panda 9.0.0.4 2007.11.16 -
Prevx1 V2 2007.11.16 -
Rising 20.18.40.00 2007.11.16 -
Sophos 4.23.0 2007.11.16 -
Sunbelt 2.2.907.0 2007.11.16 -
Symantec 10 2007.11.16 -
TheHacker 6.2.9.130 2007.11.15 -
VBA32 3.12.2.5 2007.11.16 -
VirusBuster 4.3.26:9 2007.11.16 -
Webwasher-Gateway 6.0.1 2007.11.16 -
weitere Informationen
File size: 27648 bytes
MD5: 39a2f7ebcb6817c4a016b544921c7982
SHA1: f3431c4532324f571108f3b4d1ad13081a8b314d


diese sptd.sys datei, da sagt VT und auch jotti jedesmal 0 bytes received
cannot scan.
was soll ich denn da machen?

so noch eine frage cosinus, und zwar habe ich hier im forum einen link zu einem programm names aboutbuster gefunden was dieses popcreg.dat und die anderen beiden pop.....dat dinger beseitigt. ich habe es noch nicht verwendet, weil ich dich vorher fragen wollte ob ich das programm mal verwenden soll (wollte nämlich nicht mein system kaputt reparieren)?

Vielen Dank für deine super Hilfe

mfg
cobol

Alt 18.11.2007, 12:23   #7
cobol
 
Vundo.gen, bitte um hilfe! - Standard

Vundo.gen, bitte um hilfe!



Hallo Cosinus, ich hoffe du antwortest nochmal

hier ist nun auch das escan logfile (hab ur die relevanten dinge rauskopiert, weil wäre sonst ziemlich viel):

Sun Nov 18 12:32:31 2007 => **********************************************************
Sun Nov 18 12:32:31 2007 => eScan AntiVirus Toolkit Utility.
Sun Nov 18 12:32:31 2007 => Copyright (c) MicroWorld
Sun Nov 18 12:32:31 2007 => **********************************************************
Sun Nov 18 12:32:31 2007 => Source: C:\DOKUME~1\xisu\Desktop\mwav.exe
Sun Nov 18 12:32:31 2007 => Version 9.5.5
Sun Nov 18 12:32:31 2007 => Protokolldatei: C:\DOKUME~1\xisu\LOKALE~1\Temp\MWAV.LOG
Sun Nov 18 12:32:31 2007 => MWAV Registered: FALSE.
Sun Nov 18 12:32:31 2007 => User Account: xisu (Administrator Mode)
Sun Nov 18 12:32:31 2007 => OS Type: Windows Workstation
Sun Nov 18 12:32:31 2007 => OS: Windows XP
Sun Nov 18 12:32:31 2007 => Ver: Service Pack 2 (Build 2600)
Sun Nov 18 12:32:31 2007 => Windows Root Folder: C:\WINDOWS
Sun Nov 18 12:32:31 2007 => Windows Sys32 Folder: C:\WINDOWS\system32
Sun Nov 18 12:32:31 2007 => Interface0 DHCPNameServer: 192.168.0.1
Sun Nov 18 12:32:31 2007 => Local Fixed Drives: c:\,d:\,e:\,g:\,m:\
Sun Nov 18 12:32:31 2007 => MWAV Mode: Only Scan files.

Sun Nov 18 12:32:31 2007 => ********** Files created/modified in last fortnight in Windows Folder **********
Sun Nov 18 12:32:31 2007 => C:\WINDOWS\catchme.exe (136192), 15-Nov-2007
Sun Nov 18 12:32:31 2007 => C:\WINDOWS\inoenv.ini (258), 07-Nov-2007
Sun Nov 18 12:32:31 2007 => C:\WINDOWS\NirCmd.exe (51200), 15-Nov-2007, NirSoft, NirCmd
Sun Nov 18 12:32:31 2007 => C:\WINDOWS\system32\PerfStringBackup.INI (722222), 16-Nov-2007
Sun Nov 18 12:32:31 2007 => C:\WINDOWS\system32\swreg.exe (279552), 15-Nov-2007, SteelWerX, SteelWerX Registry Editor
Sun Nov 18 12:32:31 2007 => C:\WINDOWS\system32\swsc.exe (370688), 15-Nov-2007, SteelWerX, SteelWerX Service Controller
Sun Nov 18 12:32:31 2007 => C:\WINDOWS\system32\swxcacls.exe (212480), 15-Nov-2007, SteelWerX, SteelWerX Extended Configurator ACLists
Sun Nov 18 12:32:31 2007 => C:\WINDOWS\system32\VFind.exe (49152), 15-Nov-2007
Sun Nov 18 12:32:31 2007 => C:\boot.ini (211), 16-Sep-2007 [HSR]
Sun Nov 18 12:32:31 2007 => C:\bootfont.bin (4952), 18-Aug-2001 [HSR]
Sun Nov 18 12:32:31 2007 => C:\NTDETECT.COM (47564), 18-Aug-2001 [HSR]
Sun Nov 18 12:32:31 2007 => *************************************************

Offending file found: C:\WINDOWS\system32\swreg.exe
Sun Nov 18 12:39:33 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: No Action Taken.

Sun Nov 18 12:39:33 2007 => Offending file found: C:\WINDOWS\system32\swsc.exe
Sun Nov 18 12:39:33 2007 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: No Action Taken.

Sun Nov 18 12:39:42 2007 => Checking MountPoints2 Registry Key...
Sun Nov 18 12:39:42 2007 => Invalid Command Found in {8cb7a7b7-644f-11dc-a24c-0015f2058402}\file0\file1\file2\Shell\AutoRun\command: H:\laucher.exe
Sun Nov 18 12:39:42 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8cb7a7b7-644f-11dc-a24c-0015f2058402} !!!
Sun Nov 18 12:39:42 2007 => Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken.

Sun Nov 18 12:39:42 2007 => Checking CLSID Reference Entries...
Sun Nov 18 12:39:44 2007 => Checking Module Usage Entries...
Sun Nov 18 12:39:44 2007 => Checking User Trusted External App Entries...
Sun Nov 18 12:39:44 2007 => Checking Shared DLL Entries...
Sun Nov 18 12:39:46 2007 => Checking Installer Entries...
Sun Nov 18 12:39:47 2007 => Checking Shared Tools Entries...
Sun Nov 18 12:39:47 2007 => Checking File Extension Entries...
Sun Nov 18 12:39:47 2007 => Checking Application Cache Entries...

Sun Nov 18 12:44:09 2007 => Scanning File C:\pagefile.sys
Sun Nov 18 12:44:09 2007 => ERROR!!! ScanFile fails for C:\pagefile.sys
Sun Nov 18 12:42:22 2007 => [Scanning Folder: C:\Dokumente und Einstellungen\xisu\Netzwerkumgebung\Documents an Cobolt]
Sun Nov 18 12:42:22 2007 => Scanning File C:\Dokumente und Einstellungen\xisu\Netzwerkumgebung\Documents an Cobolt\Desktop.ini
Sun Nov 18 12:42:22 2007 => Scanning File C:\Dokumente und Einstellungen\xisu\Netzwerkumgebung\Documents an Cobolt\target.lnk
Sun Nov 18 12:42:22 2007 => Scanning File C:\Dokumente und Einstellungen\xisu\NTUSER.DAT
Sun Nov 18 12:42:22 2007 => ERROR!!! ScanFile fails for C:\DOKUME~1\xisu\NTUSER.DAT
Sun Nov 18 12:42:22 2007 => Scanning File C:\Dokumente und Einstellungen\xisu\ntuser.dat.LOG
Sun Nov 18 12:42:22 2007 => ERROR!!! ScanFile fails for C:\DOKUME~1\xisu\NTUSER~1.LOG
Sun Nov 18 12:42:22 2007 => Scanning File C:\Dokumente und Einstellungen\xisu\ntuser.ini
Sun Nov 18 12:42:22 2007 => Scanning File C:\Dokumente und Einstellungen\xisu\PUTTY.RND
Sun Nov 18 12:42:22 2007 => Setting NORMAL Attributes for Folder: C:\Dokumente und Einstellungen\xisu\Recent

Sun Nov 18 12:41:51 2007 => [Scanning Folder: C:\Dokumente und Einstellungen\xisu\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows]
Sun Nov 18 12:41:51 2007 => Scanning File C:\Dokumente und Einstellungen\xisu\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Sun Nov 18 12:41:51 2007 => ERROR!!! ScanFile fails for C:\DOKUME~1\xisu\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
Sun Nov 18 12:41:51 2007 => Scanning File C:\Dokumente und Einstellungen\xisu\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Sun Nov 18 12:41:51 2007 => ERROR!!! ScanFile fails for C:\DOKUME~1\xisu\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG

mfg
cobol

Alt 18.11.2007, 17:58   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vundo.gen, bitte um hilfe! - Standard

Vundo.gen, bitte um hilfe!



Zitat:
hier ist nun auch das escan logfile (hab ur die relevanten dinge rauskopiert, weil wäre sonst ziemlich viel):
Beachte die escan-Anleitung bitte, da steht was von der FIND.BAT!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.11.2007, 19:30   #9
cobol
 
Vundo.gen, bitte um hilfe! - Standard

Vundo.gen, bitte um hilfe!



oh tut mir leid hab das mit der fin.bat irgendwie überlesen, sry vielmals. huch hab auch vergessen alle festplatten zu scannen ich werd den scan nochmal wiederholen
so hab das jetz mit der find.bat gemacht und das kam dabei raus:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.5
Sprache: English
Virus Database Date: 11/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: No Action Taken.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: No Action Taken.
Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8cb7a7b7-644f-11dc-a24c-0015f2058402} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 7.5.0.20\QuickTime.msi not Scanned. Possibly password protected...
C:\Programme\QuickTime\QTSystem\QuickTimeAudioSupport.Resources\ko.lproj\QuickTimeAudioSupportLocalized.dll not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 3
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 5
Time Elapsed: 00:34:07
Total Objects Scanned: 66117
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Disabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Enabled
All Drive Check isabled
All Drive Check isabled

Batchstart: 20:30:28,56
Batchende: 20:30:30,95

nochmals danke für die hilfe

mfg
cobol

Alt 18.11.2007, 21:01   #10
cobol
 
Vundo.gen, bitte um hilfe! - Standard

Vundo.gen, bitte um hilfe!



so hier der neue escan mit allen nötigen optionen und nachdem ich die fin.bat benutzt habe:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.5
Sprache: English
Virus Database Date: 11/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8cb7a7b7-644f-11dc-a24c-0015f2058402} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 7.5.0.20\QuickTime.msi not Scanned. Possibly password protected...
C:\Programme\QuickTime\QTSystem\QuickTimeAudioSupport.Resources\ko.lproj\QuickTimeAudioSupportLocalized.dll not Scanned. Possibly password protected...
C:\System Volume Information\_restore{F4885F76-C73C-47AF-B280-6FD7E2D5C064}\RP56\A0010840.rbf not Scanned. Possibly password protected...
E:\Downloads\mmsetup_9000156_DEU.exe not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 1
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 10
Time Elapsed: 00:58:06
Total Objects Scanned: 128070
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Enabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Disabled
All Drive Check :Enabled
All Drive Check :Enabled

Batchstart: 22:01:56,92
Batchende: 22:02:05,32

und wie seihts aus, bin ich den vundo los und ist mein system nun wieder sauber?

vielen dank für deine hilfe cosinus

mfg
cobol

Alt 18.11.2007, 22:06   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vundo.gen, bitte um hilfe! - Standard

Vundo.gen, bitte um hilfe!



Das sieht gar nicht mal schlecht aus!
Verhält sich dein System denn noch merkwürdig oder ist wieder alles im Lot?

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei rapidshare hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Vundo.gen, bitte um hilfe!
ad-aware, adobe, antivir, avira, bitte um hilfe, defender, drivers, excel, explorer, fehlalarm, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, infizierte, infizierte datei, internet, internet explorer, nvidia, rundll, s-1-5-18, scan, software, suspicious file, system, tr/vundo.gen, trend micro, trojaner, virus, vundo.gen, windows, windows xp



Ähnliche Themen: Vundo.gen, bitte um hilfe!


  1. Bitte um Hilfe, Vundo befall?!
    Plagegeister aller Art und deren Bekämpfung - 25.10.2008 (0)
  2. Vundo.gen bitte euch um hilfe
    Mülltonne - 31.08.2008 (0)
  3. Vundo.Gen und Trash.Gen! Bitte um Hilfe.
    Plagegeister aller Art und deren Bekämpfung - 20.08.2008 (6)
  4. Vundo und Agent.DUJ befall!Bitte um Hilfe
    Log-Analyse und Auswertung - 03.07.2008 (0)
  5. TR/VUNDO.HO Bitte un Eure Hilfe !
    Log-Analyse und Auswertung - 25.06.2008 (4)
  6. TR/Vundo.Gen Trojaner - Bitte um Hilfe
    Log-Analyse und Auswertung - 07.05.2008 (6)
  7. TR/Vundo.Gen: Ich bekomme ihn nicht weg, bitte um Hilfe.
    Log-Analyse und Auswertung - 12.04.2008 (4)
  8. TR/Vundo.gen TR/vundo.AC Bitte um Hilfe
    Log-Analyse und Auswertung - 22.03.2008 (10)
  9. TR/Vundo.AC - Virus..Bitte um Hilfe!
    Log-Analyse und Auswertung - 14.03.2008 (0)
  10. TR/Vundo.gen in yayaa.dll bitte hilfe!
    Plagegeister aller Art und deren Bekämpfung - 31.01.2008 (16)
  11. Vundo bitte um Hilfe
    Mülltonne - 15.12.2007 (0)
  12. TR/Vundo.Gen, ich BITTE um HILFE
    Plagegeister aller Art und deren Bekämpfung - 21.11.2007 (1)
  13. Bitte um Hilfe bei Tr./Vundo.gen
    Mülltonne - 15.10.2007 (0)
  14. bitte um Hilfe mit vundo
    Log-Analyse und Auswertung - 09.10.2007 (2)
  15. Vundo.Gen Log-File bitte um hilfe
    Mülltonne - 02.05.2007 (3)
  16. TR/Vundo.708628 - Bitte um Hilfe (HiJackThis)
    Log-Analyse und Auswertung - 11.03.2007 (1)
  17. TR/vundo.gen..hilfe bitte!!!!!
    Log-Analyse und Auswertung - 04.09.2006 (13)

Zum Thema Vundo.gen, bitte um hilfe! - Hallo erstmal an alle! Habe heute einen scan mit antivir durchgeführt der auch promt angeblich den trojaner vondu.gen gefunden hat in c:\windows\system32\vtsqo.dll Habe die Datei auch schon bei virustotal checken - Vundo.gen, bitte um hilfe!...
Archiv
Du betrachtest: Vundo.gen, bitte um hilfe! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.