| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Vundo.GJ (verzweifelt :( hilfe)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
04.05.2008, 12:07
| #1 |
| |  TR/Vundo.GJ (verzweifelt :( hilfe) guten tag, ich bin neu hier und vielleicht mache ich etwas falsch, aber ich geb mir mal mühe und mal schauen was da rauskommt  ich habe letzte woche einen virus aufgefangen, hab aber keinen blassen schimmer woher. jedenfalls sagt mein antivir ständig, dass ich ein virus habe, und zwar den "TR/Vundo.GJ". Ich habe die ganze zeit versucht das alleine hinzubiegen, doch konnte ich ihn nie löschen, deswegen wende ich mich nun an euch. ich habe antivir mal durchlaufen lassen, hier ist der report: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 4. Mai 2008 11:23 Es wird nach 1248213 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: APE Versionsinformationen: BUILD.DAT : 8.1.00.295 16479 Bytes 9.4.2008 16:22:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 26.4.2008 17:56:28 AVSCAN.DLL : 8.1.1.0 57601 Bytes 26.4.2008 17:56:28 LUKE.DLL : 8.1.2.9 151809 Bytes 26.4.2008 17:56:29 LUKERES.DLL : 8.1.2.0 12545 Bytes 26.4.2008 17:56:29 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 17:45:32 ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 7.3.2008 17:36:44 ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22.4.2008 17:56:29 ANTIVIR3.VDF : 7.0.3.243 276992 Bytes 2.5.2008 22:53:54 Engineversion : 8.1.0.37 AEVDF.DLL : 8.1.0.5 102772 Bytes 26.4.2008 17:56:29 AESCRIPT.DLL : 8.1.0.28 233851 Bytes 3.5.2008 22:53:57 AESCN.DLL : 8.1.0.15 119157 Bytes 3.5.2008 22:53:56 AERDL.DLL : 8.1.0.20 418165 Bytes 26.4.2008 17:56:29 AEPACK.DLL : 8.1.1.4 364918 Bytes 3.5.2008 22:53:56 AEOFFICE.DLL : 8.1.0.18 192890 Bytes 26.4.2008 17:56:29 AEHEUR.DLL : 8.1.0.21 1196407 Bytes 3.5.2008 22:53:55 AEHELP.DLL : 8.1.0.14 115063 Bytes 26.4.2008 17:56:29 AEGEN.DLL : 8.1.0.18 299381 Bytes 26.4.2008 17:56:29 AEEMU.DLL : 8.1.0.5 430450 Bytes 26.4.2008 17:56:29 AECORE.DLL : 8.1.0.27 168310 Bytes 26.4.2008 17:56:29 AVWINLL.DLL : 1.0.0.7 14593 Bytes 26.4.2008 17:56:28 AVPREF.DLL : 8.0.0.1 25857 Bytes 26.4.2008 17:56:28 AVREP.DLL : 7.0.0.1 155688 Bytes 16.4.2007 12:16:24 AVREG.DLL : 8.0.0.0 30977 Bytes 26.4.2008 17:56:28 AVARKT.DLL : 1.0.0.23 307457 Bytes 26.4.2008 17:56:28 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 26.4.2008 17:56:28 SQLITE3.DLL : 3.3.17.1 339968 Bytes 26.4.2008 17:56:29 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 26.4.2008 17:56:29 NETNT.DLL : 8.0.0.1 7937 Bytes 26.4.2008 17:56:29 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 26.4.2008 17:56:21 RCTEXT.DLL : 8.0.32.0 86273 Bytes 26.4.2008 17:56:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Sonntag, 4. Mai 2008 11:23 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sbrowser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ObjectDock.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WATCH.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OrbTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'steam.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DUMeter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LogiTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FxSvr2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LVCOMSX.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mixer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '44' Prozesse mit '44' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. C:\WINDOWS\system32\qoMfFuTL.dll [FUND] Ist das Trojanische Pferd TR/Vundo.GJ [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003 [WARNUNG] Die Registry wurde durchsucht ( '31' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <The Chimp> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\qoMfFuTL.dll [FUND] Ist das Trojanische Pferd TR/Vundo.GJ [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003 [WARNUNG] C:\WINDOWS\system32\drivers\atapi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <The Ape> Beginne mit der Suche in 'E:\' <The Monkey> Ende des Suchlaufs: Sonntag, 4. Mai 2008 12:47 Benötigte Zeit: 1:24:12 min Der Suchlauf wurde vollständig durchgeführt. 6844 Verzeichnisse wurden überprüft 258390 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 258388 Dateien ohne Befall 1997 Archive wurden durchsucht 4 Warnungen 0 Hinweise >>> C:\WINDOWS\system32\qoMfFuTL.dll <<< <-- das ist er vielleicht ist ein HijackThis log auch hilfreich: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:50:37, on 04.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\FxSvr2.exe C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\DU Meter\DUMeter.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Winamp\winampa.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\programme\steam\steam.exe C:\Programme\Winamp Remote\bin\OrbTray.exe C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\SlimBrowser\sbrowser.exe C:\Dokumente und Einstellungen\TheApe\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll (file missing) O2 - BHO: (no name) - {F50B3F5E-856E-4757-9BB1-B35D46CA7719} - C:\WINDOWS\system32\qoMfFuTL.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: qoMfFuTL - C:\WINDOWS\SYSTEM32\qoMfFuTL.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe -- End of file - 7283 bytes habe versucht diesen virus mit vundifix zu löschen --> negativ, dieses programm hat ihn nicht mal gefunden! antivir zu löschen --> negativ, konnte er nicht adaware 2008 zu löschen --> negativ, konnte er wie antivir auch nicht avenger zu löschen --> negativ, hat nicht so geklappt wie es beschrieben wurde. vielleicht hab ich was falsches reingeschrieben, glaub cih aber weniger. bitte helft mir. ich bin schon am verzweifelen  danke im vorraus |
| Themen zu TR/Vundo.GJ (verzweifelt :( hilfe) |
| .dll, 0 bytes, ad-aware, adobe, antivir, avg, avgnt.exe, bho, ccc.exe, ctfmon.exe, desktop, drivers, einstellungen, excel, fehler, hijack, hijackthis, hijackthis log, hilfreich, hkus\s-1-5-18, internet, internet explorer, logon.exe, modul, mom.exe, nt.dll, prozesse, quara, registry, services.exe, shockwave, software, suchlauf, svchost.exe, urlsearchhook, verweise, virus, virus gefunden, warnung, windows, windows\system32\drivers, winlogon.exe |
Baum-Darstellung