Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Vundo.Gen: hartnäckiges Teil

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.11.2007, 00:16   #1
DocSchissi
 
Vundo.Gen: hartnäckiges Teil - Standard

Vundo.Gen: hartnäckiges Teil



Hallo zusammen! Bitte um Hilfe, ich bin mit meinem Latein am Ende:

Mein Virenscanner (Avira) meldet mir so ca. einmal pro Stunde einen Befall mit Vundo.Gen; Löschen, Quarantäne usw. bringt nix. Die Dateinamen der .dll Datei sind jedesmal anders (zuletzt C:\Windows\system32\gebyx.dll).

Habe schon VundoFix (aktuelle Version V6.6.2) laufen lassen, das findet aber komischerweise nix. CCleaner hab ich auch schon laufen lassen, hat aber auch nix gebracht. Der Check der userinit.exe auf www.virustotal.de hat auch nix ergeben. Spybot und der Avira Scanner finden auch nix.

Trotzdem taucht in schöner Regelmäßigkeit die Viruswarnung auf. Der Computer läuft ansonsten problemlos und macht auch nichts Unerwartetes.
Mein System läuft unter Windows XP, als Browser verwende ich Firefox.

Hier noch mein HJT-Log.
Recht herzlichen Dank schon im voraus für die Hilfe:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:44:21, on 26.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\IDU\iptray.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\HP\HP Officejet Pro K550 Series\Toolbox\HPWUTBX.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Intel\IDU\awServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hjt\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3A2224A0-B114-4491-9305-FD0E4B55FA1E} - C:\WINDOWS\system32\mljghhe.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ipTray.exe] "C:\Programme\Intel\IDU\iptray.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPWUTOOLBOX] C:\Programme\HP\HP Officejet Pro K550 Series\Toolbox\HPWUTBX.exe "-i"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe Acrobat Reader 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15026/CTPID.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - Winlogon Notify: mljghhe - C:\WINDOWS\SYSTEM32\mljghhe.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Admin Works Agent X8 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Programme\Intel\IDU\awServ.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8295 bytes

Danke nochmal, hoffe mir ist noch zu helfen...

Alt 28.11.2007, 18:00   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vundo.Gen: hartnäckiges Teil - Standard

Vundo.Gen: hartnäckiges Teil



Hallo.

Starte mal deinen Rechner im abgesicherten Modus. Neu starten, kurz bevor das erste Windows-Logo erscheint [F8] drücken und den abgesicherten Modus auswählen.

Starte dort hijackthis, klick auf do a system scan only und markiere diese Einträge:

Code:
ATTFilter
O2 - BHO: (no name) - {3A2224A0-B114-4491-9305-FD0E4B55FA1E} - C:\WINDOWS\system32\mljghhe.dll
O20 - Winlogon Notify: mljghhe - C:\WINDOWS\SYSTEM32\mljghhe.dll
         
klick dann unten bei HJT auf fix checked. Starte den Rechner wieder im normalen Modus und erstelle und poste ein neues Logfile von HJT.

Danach löscht du malwaredateien auf diese Weise:

1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\mljghhe.dll
C:\Windows\system32\gebyx.dll
         
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Danach folgen ein paar Routinechecks. Führ dazu folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
- combofix
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Antwort

Themen zu Vundo.Gen: hartnäckiges Teil
.dll, .dll datei, adobe, antivir, avg, avira, bho, bitte um hilfe, browser, computer, dsl, explorer, gainward, herzlichen dank, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mozilla, mozilla firefox, nvidia, officejet, quara, rundll, s-1-5-18, scan, software, symantec, system, trend micro, unter windows xp, userinit.exe, vundo.gen, windows, windows xp



Ähnliche Themen: Vundo.Gen: hartnäckiges Teil


  1. Hartnäckiges Problem durch Malware/Hardware!
    Plagegeister aller Art und deren Bekämpfung - 04.12.2012 (18)
  2. Hartnäckiges Problem mit Silentbanker
    Plagegeister aller Art und deren Bekämpfung - 02.08.2010 (2)
  3. Maleware, Trojaner oder sonstwas hartnäckiges
    Log-Analyse und Auswertung - 20.01.2010 (17)
  4. Trojan:Win32/Vundo.gen!P/ Teil 2
    Mülltonne - 23.08.2008 (1)
  5. Trojan:Win32/Vundo.gen!P/ Teil 2
    Mülltonne - 22.08.2008 (0)
  6. Hartnäckiges Explorerverhalten (Trojaner?)
    Log-Analyse und Auswertung - 25.07.2008 (29)
  7. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  8. hartnäckiges Problem mit TR/Crypt.XPACK.Gen auf Laptop und Computer :(
    Plagegeister aller Art und deren Bekämpfung - 27.05.2007 (12)
  9. hartnäckiges eraseme-Problem
    Log-Analyse und Auswertung - 12.07.2006 (4)
  10. Hartnäckiges Teil
    Log-Analyse und Auswertung - 18.03.2006 (2)
  11. Hartnäckiges Teil, wie fixe ich das bei W2K?
    Log-Analyse und Auswertung - 03.09.2005 (3)
  12. Hartnäckiges Problem mit einem PopUp - Hilfeee!!!
    Plagegeister aller Art und deren Bekämpfung - 30.07.2005 (5)
  13. Hartnäckiges Problem mit Acrobat - hab ich nen Wurm?
    Log-Analyse und Auswertung - 20.07.2005 (0)
  14. hartnäckiges Problem
    Plagegeister aller Art und deren Bekämpfung - 19.05.2005 (7)
  15. extrem hartnäckiges teil
    Plagegeister aller Art und deren Bekämpfung - 01.05.2005 (3)
  16. se.dll.... hartnäckiges kleines Mistding!!!
    Log-Analyse und Auswertung - 19.04.2005 (10)
  17. Extrem hartnäckiges Browser-Hijacking!
    Log-Analyse und Auswertung - 20.06.2004 (2)

Zum Thema Vundo.Gen: hartnäckiges Teil - Hallo zusammen! Bitte um Hilfe, ich bin mit meinem Latein am Ende: Mein Virenscanner (Avira) meldet mir so ca. einmal pro Stunde einen Befall mit Vundo.Gen; Löschen, Quarantäne usw. bringt - Vundo.Gen: hartnäckiges Teil...
Archiv
Du betrachtest: Vundo.Gen: hartnäckiges Teil auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.