Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: vundo komplett entfernt?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.05.2008, 14:31   #1
gueldeph
 
vundo komplett entfernt? - Standard

vundo komplett entfernt?



Hallo,
heute morgen bekam ich wiederholt eine antivir meldung, daß der Trojaner vundo in verschiedenen dll dateien steckt.
hab die betroffenen dateien gelöscht und mit HijackThis und vundofix gescanned. vundofix findet nix mehr, aber im HijackThis log sind einige unbekannte dateien drin. jetzt würde ich gern wissen ob die mit dem trojaner in verbindung stehen oder ob es sich einfach um "irgendwelche" dateien handelt.
hier der log: (hab die mir verdächtig erscheinenden dateien rot markiert)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:07:20, on 15.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\HijackThis\hjt.com


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von chello broadband n.v.
O2 - BHO: (no name) - {2370102D-0DB6-43F0-BFA8-4E807E47E943} - C:\WINDOWS\system32\cbXQgeed.dll
O2 - BHO: (no name) - {2AA0726C-95B7-4216-AA43-B5BDD524892F} - C:\WINDOWS\system32\vtUlLCtR.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\programme\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5619EB3F-86AF-4F06-AE7A-7BAFD5FFBA08} - (no file)
O4 - HKLM\..\Run: [ChelloDesktop] C:\Programme\chello\ChelloDesktop.exe
O4 - HKLM\..\Run: [ChelloBackground] C:\Programme\chello\ChelloMessenger.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Remote] d:\programme\lifeview tvr\Remote.exe
O4 - HKLM\..\Run: [RecSche] "d:\programme\lifeview tvr\RecSche.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.deu.chello.at/ssi/welcome/welcome.php?url=home
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199829047390
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: vtUlLCtR - C:\WINDOWS\SYSTEM32\vtUlLCtR.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

bin für jede hilfe dankbar.
ach ja: kann die automatischen windowsupdates nicht mehr einschalten. hab schon alles versucht was auf der microsoft seite und in diversen foren als lösungsvorschläge angeboten wird. könnte dieses problem mit dem trojaner in zusammenhang stehen?

lg gueldeph

Alt 15.05.2008, 17:11   #2
Chris4You
 
vundo komplett entfernt? - Standard

vundo komplett entfernt?



Hi,

das sieht verdammt weiterhin nach vundo aus...

Online prüfen lassen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
VirusTotal - Free Online Virus and Malware Scan

Zitat:
C:\WINDOWS\system32\cbXQgeed.dll
C:\WINDOWS\SYSTEM32\vtUlLCtR.dll
Poste das Log jeweils mit Filename!

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUlLCtR

Files to delete:
C:\WINDOWS\system32\cbXQgeed.dll
C:\WINDOWS\SYSTEM32\vtUlLCtR.dll
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O2 - BHO: (no name) - {2370102D-0DB6-43F0-BFA8-4E807E47E943} - C:\WINDOWS\system32\cbXQgeed.dll
O2 - BHO: (no name) - {2AA0726C-95B7-4216-AA43-B5BDD524892F} - C:\WINDOWS\system32\vtUlLCtR.dll
         
Zusaetzlich bitte noch CureIT nutzen Anleitung: DrWeb.Cureit
Aber bitte den Download von hier nutzen Dr.Web CureIt! findet und beseitigt

Chris

Edit:
Windowsupdate, bitte das hier ausprobieren:

Zunächst muss der für die automatischen Updates zuständige Windows-Dienst gestoppt werden.
Dazu muss in der Kommandozeile (Start->Programme->Zubehör->Eingabeaufforderung) folgende Befehlsfolge eingegeben werden:

net stop wuauserv
exit

Anschließend kann die Datei wups2.dll registriert werden.
Auch hierzu wird die Kommandozeile benötigt, in der folgender Befehl eingegeben werden muss:
regsvr32 %windir%\system32\wups2.dll (bei 64-Bit-Systemen: regsvr32 %windir%\syswow64\wups2.dll)

Nun kann der Windows-Dienst für automatische Updates wieder gestartet werden:

net start wuauserv
exit
__________________

__________________

Geändert von Chris4You (15.05.2008 um 17:17 Uhr)

Alt 16.05.2008, 10:17   #3
gueldeph
 
vundo komplett entfernt? - Standard

vundo komplett entfernt?



Hallo Chris,
erst mal vielen Dank für die schnelle Hilfe.
Hier die Ergebnisse vom virustotal scan:

C:\WINDOWS\system32\cbXQgeed.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.19 2008.05.16 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.16 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.16 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 W32/Agent.KVM!tr
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5296 2008.05.16 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 Vundo.gen179
Panda 9.0.0.4 2008.05.15 Suspicious file
Prevx1 V2 2008.05.16 Cloaked Malware
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 Troj/Virtum-Gen
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.16 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 Win32.Malware.gen!80 (suspicious)
weitere Informationen
File size: 371200 bytes
MD5...: 2aef3145fcf1d97ace6e40041d80cfae
SHA1..: 09778628e9ffdef3d09cfb80a8c3544073aa853d
SHA256: 38c871265a7cba1c9c51be00cad7c2a8c02e1a49ae889350c845eeb05739e59f
SHA512: 39b25582d67f04c3c7e1c56ea82a4e29bc7719465f52c7607d5de67f27960111
afcd2d6763f8d53ad0e43a9e51a723853973ee7f7af0a9455f7815d31a93763e
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100010ff
timedatestamp.....: 0x478a2fee (Sun Jan 13 15:36:14 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x89ff 0x8a00 7.22 6d68802afcdd1aedeb196e950f8e8cf1
.rdata 0xa000 0x1bb14 0x1bc00 8.00 0cbb38c9cbac10fd00a13393110d5767
.data 0x26000 0x779f7 0x36000 8.00 c53a2281861f7340f1cf948d70057baa

( 2 imports )
> user32.dll: DrawTextA, DrawIcon, DrawCaption, DestroyMenu, DestroyCursor, CreatePopupMenu, CreateMenu, CreateIconFromResourceEx, CreateIconFromResource, CreateDialogIndirectParamA, CreateDesktopA, CopyRect, CharToOemBuffA, CharToOemA, CharNextA, BeginPaint
> kernel32.dll: EnterCriticalSection, lstrlenA, lstrcmpA, lstrcatA, UnmapViewOfFile, TlsGetValue, TlsFree, Sleep, SetLastError, SetCurrentDirectoryA, RtlUnwind, LoadResource, GetFileSize, FreeResource, FindResourceA, ExitProcess, EnumResourceTypesA, CompareStringA, EnumResourceLanguagesW

( 0 exports )
Prevx info: - Prevx


C:\WINDOWS\SYSTEM32\vtUlLCtR.dll:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.19 2008.05.16 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.16 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.16 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 Virtum!tr
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 Trojan.Win32.Vundo.H
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5296 2008.05.16 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 Vundo.gen179
Panda 9.0.0.4 2008.05.15 Suspicious file
Prevx1 V2 2008.05.16 Cloaked Malware
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 Troj/Virtum-Gen
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.16 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.16 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 57344 bytes
MD5...: c2ede2112c91db0648ae0de1f1b3e018
SHA1..: 487be6b434bca574d9adc1b3712dd3a22b8f063d
SHA256: 6d4a16652e10a9dec1748d64bfb926f871a961a45c76d04246f7b884886d2997
SHA512: ec40e92e95e9857d4c3bead8e5f712bce068da0cbdf1dd9c3baeb42d27d66de1
711e08f62468d79c47c594044cccb50cafcdb6ed56a9740562604f709d1d26d9
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000100a
timedatestamp.....: 0x478a2fee (Sun Jan 13 15:36:14 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x82fe 0x8400 7.16 21e026724021a5ca1d3fc38a6bf8360d
.rdata 0xa000 0x3ae1 0x3c00 7.83 3a36cbcb69665ed3e03db5df9f9f29e3
.data 0xe000 0x2b12 0x1c00 7.56 6b1efb4c6fd62c7e283fe167faa07a1d

( 2 imports )
> user32.dll: EnableScrollBar, DrawStateA, DestroyWindow, DestroyMenu, DestroyIcon, DefDlgProcA, CreateMenu, CopyRect, CopyImage, CharToOemA, CharPrevA, BeginPaint, ActivateKeyboardLayout
> kernel32.dll: EnumResourceTypesA, lstrcpynA, lstrcatA, VirtualFree, TlsFree, SetCurrentDirectoryA, RtlUnwind, RaiseException, MapViewOfFile, LocalAlloc, GetTimeFormatA, GetSystemTimeAsFileTime, ExitThread

( 0 exports )
Prevx info: VTUOMLJG.DLL - Prevx
__________________

Geändert von gueldeph (16.05.2008 um 11:01 Uhr)

Alt 16.05.2008, 10:41   #4
gueldeph
 
vundo komplett entfernt? - Standard

vundo komplett entfernt?



hier noch die avanger und HijackThis logfiles. die bösen einträge sind verschwunden! juhu!
tausend dank, chris, für die detailierte und idiotensichere anleitung!
werd jetzt noch versuchen die automatischen updates wieder einzuschalten.


avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\cbXQgeed.dll" deleted successfully.
File "C:\WINDOWS\SYSTEM32\vtUlLCtR.dll" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUlLCtR" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:36:14, on 16.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\HijackThis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Suchen mit chello
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von chello broadband n.v.
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\programme\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ChelloDesktop] C:\Programme\chello\ChelloDesktop.exe
O4 - HKLM\..\Run: [ChelloBackground] C:\Programme\chello\ChelloMessenger.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Remote] d:\programme\lifeview tvr\Remote.exe
O4 - HKLM\..\Run: [RecSche] "d:\programme\lifeview tvr\RecSche.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.deu.chello.at/ssi/welcome/welcome.php?url=home
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1199829047390
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 7206 bytes

Alt 16.05.2008, 10:59   #5
gueldeph
 
vundo komplett entfernt? - Standard

vundo komplett entfernt?



die updates zu fixen hat leider nicht funktioniert.

wenn ich „net stop wuauserv“ eingebe, bekomme ich folgende meldung: automatische updates ist nicht gestartet
bei eingabe von „regsvr32 %windir%\system32\wups2.dll“ öffnet sich ein fenster mit folgender meldung: dllregisterserver in c:\windows\system32\wups2.dll erfolgreich durchgeführt
gebe ich nun die letzte zeile in die eingabeaufforderung ein „net start wuauserv“ erhalte ich:
systemfehler 1058 aufgetreten, der angegebene dienst kann nicht gestartet werden. er ist deaktiviert oder nicht mit aktivierten geräten verbunden.

sagt dir das irgendwas?

edit: hat jetzt mit der anleitung von der microsoft seite funktioniert, die automatischen updates funktionieren wieder!
nochmals vielen dank für deine hilfe!

lg gueldeph


Geändert von gueldeph (16.05.2008 um 11:10 Uhr)

Alt 16.05.2008, 12:02   #6
Chris4You
 
vundo komplett entfernt? - Standard

vundo komplett entfernt?



Hi,

lass mir bitte den Link von Microsoft (fixen des windows-updates) zukommen lassen.

Bitte nicht vergessen:
Zusaetzlich bitte noch CureIT nutzen Anleitung: DrWeb.Cureit
Aber bitte den Download von hier nutzen Dr. Web CureIt! findet und beseitigt

Poste ggf. das Log von cureit (falls er was findet, keine Cookies)..

chris
__________________
--> vundo komplett entfernt?

Alt 16.05.2008, 12:33   #7
gueldeph
 
vundo komplett entfernt? - Standard

vundo komplett entfernt?



cureit hat nix gefunden.

hier ist der link mit dem ich die automatischen updates wieder einschalten hab können: WinNT-Fehler: Fehler 1058: Der angegebene Dienst ist deaktiviert

gueldeph

Alt 16.05.2008, 15:04   #8
Chris4You
 
vundo komplett entfernt? - Standard

vundo komplett entfernt?



Hi,

Danke!

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu vundo komplett entfernt?
adobe, antivir, avira, bho, controlcenter, dateien gelöscht, diverse, dll, dll dateien, einstellungen, entfernt?, excel, explorer, firewall, gservice, handel, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, log, microsoft, problem, programme, software, system, trojaner, vundo, windows, windows xp



Ähnliche Themen: vundo komplett entfernt?


  1. Adserverplus komplett entfernt?
    Log-Analyse und Auswertung - 09.08.2013 (9)
  2. Delta Search komplett entfernt?
    Plagegeister aller Art und deren Bekämpfung - 15.06.2013 (16)
  3. Delta-Search komplett entfernt?
    Log-Analyse und Auswertung - 21.02.2013 (2)
  4. my start by incredibar komplett entfernt?
    Plagegeister aller Art und deren Bekämpfung - 24.01.2013 (5)
  5. Live Security Platinum komplett entfernt??
    Log-Analyse und Auswertung - 30.07.2012 (3)
  6. Security Shield - komplett entfernt?
    Log-Analyse und Auswertung - 09.07.2012 (13)
  7. Gema Trojaner komplett entfernt? Was nun tun?
    Log-Analyse und Auswertung - 10.06.2012 (1)
  8. Bundespolizeitrojaner komplett entfernt?
    Log-Analyse und Auswertung - 22.11.2011 (5)
  9. Personal Shield Pro nicht komplett entfernt
    Log-Analyse und Auswertung - 23.06.2011 (12)
  10. Virus cleansweep.exe nicht komplett entfernt?
    Log-Analyse und Auswertung - 13.12.2010 (24)
  11. ThinkPoint komplett entfernt?
    Plagegeister aller Art und deren Bekämpfung - 05.11.2010 (18)
  12. AntivirusSoft nun komplett entfernt?
    Plagegeister aller Art und deren Bekämpfung - 27.04.2010 (7)
  13. Security Tool komplett entfernt?
    Plagegeister aller Art und deren Bekämpfung - 13.04.2010 (23)
  14. wie entfernt man Sinowal.J komplett ???
    Plagegeister aller Art und deren Bekämpfung - 04.05.2009 (3)
  15. Virtumonde komplett entfernt?
    Log-Analyse und Auswertung - 24.10.2008 (10)
  16. vundo h trojaner komplett entfernt?
    Mülltonne - 28.08.2008 (1)
  17. Security Toolbar komplett entfernt?
    Log-Analyse und Auswertung - 03.12.2007 (0)

Zum Thema vundo komplett entfernt? - Hallo, heute morgen bekam ich wiederholt eine antivir meldung, daß der Trojaner vundo in verschiedenen dll dateien steckt. hab die betroffenen dateien gelöscht und mit HijackThis und vundofix gescanned. vundofix - vundo komplett entfernt?...
Archiv
Du betrachtest: vundo komplett entfernt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.