TR/Vundo.Gen und Dropper

11Boy11 · 16.12.2007, 19:16

Nur Combofix.

(Nach dem Combofix fertig ist, bitte Log von Combofix posten!)

Miro-Na · 16.12.2007, 19:31

Ok, hier nun der Log...

ComboFix 07-12-16.3 - Anna 2007-12-16 19:20:03.1 - NTFSx86
ausgeführt von:: F:\PrivatePROGRAMMS\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-16 bis 2007-12-16 ))))))))))))))))))))))))))))))
.

2007-12-16 19:01 . 2007-12-16 19:01 <DIR> d-------- C:\Programme\Trend Micro
2007-12-11 22:12 . 2007-12-11 22:28 <DIR> d-------- C:\Dokumente und Einstellungen\Anna\Anwendungsdaten\Ahead
2007-12-11 22:03 . 2007-12-11 22:03 <DIR> d-------- C:\Programme\Nero
2007-12-11 22:03 . 2007-12-11 22:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-12-11 22:03 . 2007-12-11 22:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-12-10 18:04 . 2007-12-10 18:04 38,912 --a------ C:\WINDOWS\system32\gebabya.dll
2007-12-02 01:04 . 2007-12-02 01:04 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-02 01:04 . 2007-12-02 01:04 1,409 --a------ C:\WINDOWS\QTFont.for
2007-11-27 16:04 . 2007-12-10 16:22 261 --a------ C:\WINDOWS\lexstat.ini
2007-11-27 16:01 . 2007-11-27 16:01 <DIR> d-------- C:\Lxk1100
2007-11-27 15:52 . 2007-11-27 16:03 <DIR> d-------- C:\Programme\Lexmark X1100 Series
2007-11-27 15:52 . 2007-11-27 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\Anna\WINDOWS
2007-11-27 15:52 . 2002-08-22 15:14 983,101 --a------ C:\WINDOWS\system32\LXBKGF.DLL
2007-11-27 15:52 . 2003-08-19 10:29 352,256 --a------ C:\WINDOWS\system32\LXBKUTIL.DLL
2007-11-27 15:52 . 1997-04-08 20:08 299,520 --a------ C:\WINDOWS\uninst.exe
2007-11-27 15:52 . 2001-08-18 04:54 87,040 --a------ C:\WINDOWS\system32\wiafbdrv.dll
2007-11-27 15:52 . 2001-08-18 04:54 87,040 --a------ C:\WINDOWS\system32\dllcache\wiafbdrv.dll
2007-11-27 15:52 . 2003-08-18 11:56 69,632 --a------ C:\WINDOWS\system32\lxbkscin.dll
2007-11-27 15:52 . 2003-08-18 11:56 57,344 --a------ C:\WINDOWS\system32\lxbkcinf.dll
2007-11-27 15:52 . 2003-08-18 11:56 49,152 --a------ C:\WINDOWS\system32\lxbkcoin.dll
2007-11-27 15:52 . 2002-09-13 11:40 266 --a------ C:\WINDOWS\system32\lxbkcoin.ini
2007-11-27 15:42 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-11-27 15:42 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-15 16:08 --------- d-----w C:\Programme\TVgenial
2007-12-12 21:33 --------- d-----w C:\Programme\AnnaTools
2007-12-09 23:19 --------- d-----w C:\Programme\Winamp
2007-11-26 21:53 --------- d-----w C:\Dokumente und Einstellungen\Anna\Anwendungsdaten\Skype
2007-11-05 09:33 --------- d-----w C:\Programme\Smart Projects
2006-12-04 21:42 6,624,984 ----a-w C:\Programme\winamp531_full_emusic-7plus.exe
2006-12-04 17:04 6,615,832 ----a-w C:\Programme\FirefoxGoogleToolbarSetup.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D64DF1A8-2301-4B02-8197-FB406A320FDC}]
2007-12-10 18:04 38912 --a------ C:\WINDOWS\system32\gebabya.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Dokument-Manager]
@={666C7833-A9B6-4AB4-94ED-DC238C81E925}

[HKEY_CLASSES_ROOT\CLSID\{666C7833-A9B6-4AB4-94ED-DC238C81E925}]
2005-06-16 18:41 307712 --a------ C:\Programme\HPQ\IAM\Bin\SFSShell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:00]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"OM_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe" [2006-05-16 17:51]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 10:11]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-05-06 14:06]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 10:12]
"PTHOSTTR"="C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.exe" [2006-02-14 10:56]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-31 04:20]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-31 17:01]
"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-03-28 13:13]
"CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 19:12]
"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-23 10:38]
"Cpqset"="C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe" [2006-04-21 08:30]
"Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2005-12-20 15:51]
"Reminder"="C:\WINDOWS\Creator\Remind_XP.exe" [2006-03-09 16:38]
"Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-02-15 16:43]
"WatchDog"="C:\Programme\InterVideo\DVD Check\DVDCheck.exe" [2006-03-31 13:58]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 09:00 C:\WINDOWS\system32\bthprops.cpl]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-17 21:11]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 18:46]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-03-17 18:54]
"OM_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2006-05-16 17:50]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 10:43]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-10-10 06:28]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-08-06 19:03]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 09:00]
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2007-05-30 02:34]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{D64DF1A8-2301-4B02-8197-FB406A320FDC}"= C:\WINDOWS\system32\gebabya.dll [2007-12-10 18:04 38912]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebabya]
gebabya.dll 2007-12-10 18:04 38912 C:\WINDOWS\system32\gebabya.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
IfxWlxEN.dll 2006-03-03 16:08 434176 C:\WINDOWS\system32\IfxWlxEN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll 2005-07-25 19:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll

R1 PersonalSecureDrive;PersonalSecureDrive;C:\WINDOWS\system32\drivers\psd.sys
R2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe -k Cognizance
R3 AEAudioService;AEAudio Service;C:\WINDOWS\system32\drivers\AEAudio.sys
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS
S3 sscdbus;SAMSUNG USB Composite Device driver (WDM);C:\WINDOWS\system32\DRIVERS\sscdbus.sys
S3 sscdmdfl;SAMSUNG CDMA Modem Filter;C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys
S3 sscdmdm;SAMSUNG CDMA Modem Drivers;C:\WINDOWS\system32\DRIVERS\sscdmdm.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASChannel

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-16 19:27:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-16 19:28:54 - machine was rebooted

Miro-Na · 16.12.2007, 20:15

Und? Wie schauts aus...?

11Boy11 · 16.12.2007, 20:23

Zitat:

E:\Autorun.inf

hat Combofix gelöscht.

Ansonsten wurden

Zitat:

versteckte Dateien: 0

gefunden.

Wie sieht es denn bei Dir aus?
Virus noch da?

Miro-Na · 16.12.2007, 20:27

Also der TR/Vundo scheint nicht mehr da zu sein, aber AntiVir meldet immernoch den Dropper... brauche ich für den nen anderes Programm?

11Boy11 · 16.12.2007, 20:28

Poste bitte den Pfad, den AntiVir anzeigt, wo sich der Virus befindet.

Miro-Na · 16.12.2007, 20:32

Der DR/Virtumonde.BLA befindet sich unter:

c:\WINDOWS\system32\gebabya.dll

Und danke übrigens für die geduldige Hilfe...

TR/Vundo.Gen und Dropper

Plagegeister aller Art und deren Bekämpfung: TR/Vundo.Gen und Dropper