Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Extrem Wiederspänstiger Vundo/Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.06.2008, 12:46   #1
olitoll
 
Extrem Wiederspänstiger Vundo/Gen - Standard

Extrem Wiederspänstiger Vundo/Gen



Hallo,
da dies mein erstes Post ist, hoffe ich nicht alt so viele Fehler zu machen.
Ich habe mir vor ein paar tagen den Trojaner Vundo eingefangen (per mail)
Symptome:
Gelegentliche Werbung
Der Rechner "lahmt" ein Wenig
Antivier Spielt total verrücke, ständige Meldungen wegen des Trojaners.

Bekannte befallene Dateien, allesamt unter system32
vtUomnNh.dll << das war die erste
cdxQKcsJ.dll
dbqahyny.dll
iifdeCUn.dll
mgiihih.dll
ggxegqso.dll

Versucht wurde:
Löschen ;-)
Löschen mittels Unlock
*geht nicht da verwendet von winlogon und explorer
Beenden der header mittels ProcessExplorer
*geht nicht, da nach dem beendern der header die dati (vtUomnNh.dll) immer noch verwendet wurde
Verwenden der Programmen : FixVundo/VndoFix/VirtumundoBeGone/ComboFix / vollständigem antivir suchlauf sowie diverser anti Rootkit software
Des weiteren :
Antivir boot CD >> hat alles mögliche gelöscht nur nicht den vundo
Start von DSL/Knoppix und ähnlichen Linux Varianten (für manuelles löschen). Dabei finden diese entweder meine sata Festplatte nicht, oder aber sie starten erst gar nicht (Fehler: can´t find knoppix fiel system)
Boot mit DOS erkennt aber auch keine Festplatte

Nachdem ich das alles versucht habe bin ich am ende Hier meine HijackThis und filelist logfieles, ich hoffe jemand kann mir helfen.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:54:48, on 23.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\REVOLTEC\FightBoard Advanced 1.00\FightBoard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\GIGABYTE\I-Cool\icool.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Yodm3D.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OO Software\DriveLED\oodled.exe
C:\Programme\girder\Girder.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\mousometer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\IEPro\MiniDM.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xx.google.de/ig?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xx://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xx://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xx://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xx://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = xx://www.nvidia.com/content/drivers/redirect.asp?language=DEU&page=sysutility
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FightBoard] C:\Programme\REVOLTEC\FightBoard Advanced 1.00\FightBoard.exe -1
O4 - HKLM\..\Run: [ICOOL] "C:\Programme\GIGABYTE\I-Cool\run.exe" HIDE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Yodm3D] C:\Yodm3D.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [DriveLED] C:\Programme\OO Software\DriveLED\oodled.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Girder3.lnk = C:\Programme\girder\Girder.exe
O4 - Startup: Mousometer.lnk = C:\Dokumente und Einstellungen\Administrator\Desktop\mousometer.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - xx://towercam.intershop.de/index.htm
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - xx://download.gigabyte.com.tw/object/Dldrv.ocx
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - hxx://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - hxx://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxx://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188336603859
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - hxx://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - hxx://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - hxx://sdlc-esd.sun.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?AuthParam=1209311225_da701c6a7e2a4374484168110b1b94f6&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - htxx://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.12) - hxx://service.futuremark.com/virtualmark/tc/MSC3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AB6B54B-E3D8-48BA-BD7F-AE335D918693}: NameServer = 82.144.41.8 62.220.18.8
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
         

Alt 23.06.2008, 12:49   #2
olitoll
 
Extrem Wiederspänstiger Vundo/Gen - Standard

Extrem Wiederspänstiger Vundo/Gen



Der Doppelpost tut mir leiht, aber das filelist logfiel hat aufgrund der 2500 Zeichen Beschränkung nicht mehr mit reingepasst.

filelist:
Code:
ATTFilter
 Verzeichnis von C:\

23.06.2008  11:39             3.476 desktopicon.ini
23.06.2008  11:39             1.770 Yodm3D.ini
22.06.2008  21:02               483 boot.ini
22.06.2008  20:53             2.266 VundoFix.txt
21.06.2008  17:00            30.882 ComboFix.txt
29.05.2008  11:44                10 csb.log
28.05.2008  10:08     2.145.824.768 pagefile.sys
22.05.2008  13:09                55 $DRVLTR$
22.05.2008  13:09             8.192 BOOTSECT.BAK
22.05.2008  13:00                 0 $bootdrive$
22.05.2008  13:00                 0 $lsdrive$


 
----- System32  Verzeichnis von C:\WINDOWS\system32

23.06.2008  11:58           562.017 nUCedfii.ini
23.06.2008  11:57           562.017 nUCedfii.ini2
23.06.2008  11:43             2.206 wpa.dbl
23.06.2008  11:42           132.696 OODBS.lor
22.06.2008  20:53            24.576 VundoFixSVC.exe
22.06.2008  14:51         1.696.681 klikiigm.ini
22.06.2008  14:50                 0 mcrh.tmp
22.06.2008  14:48            86.528 mgiikilk.dll
22.06.2008  14:46                 0 clkcnt.txt
22.06.2008  14:46         1.696.561 cslnkfyc.ini
21.06.2008  17:08           285.184 iifdeCUn.dll
21.06.2008  11:38                34 1214041125.(null)
20.06.2008  10:40           177.046 nvapps.xml
07.06.2008  09:29                 4 GVTunner.ref
06.06.2008  10:21           355.584 TuneUpDefragService.exe
31.05.2008  01:23             8.523 dpude.qm
31.05.2008  01:22            53.248 dpuGUI10.dll
31.05.2008  01:22           593.920 dpuGUI11.dll
31.05.2008  01:22           294.912 dpu10.dll
31.05.2008  01:22           344.064 dpus11.dll
31.05.2008  01:22           294.912 dpu11.dll
31.05.2008  01:22            57.344 dpv11.dll
31.05.2008  01:22           823.296 divx_xx0c.dll
31.05.2008  01:22           823.296 divx_xx07.dll
31.05.2008  01:22           802.816 divx_xx11.dll
31.05.2008  01:22           683.520 DivX.dll
31.05.2008  01:22           815.104 divx_xx0a.dll
31.05.2008  01:22           630.784 divxdec.ax
30.05.2008  01:35        17.486.968 MRT.exe
28.05.2008  10:08           290.888 FNTCACHE.DAT
25.05.2008  18:04           452.758 perfh007.dat
25.05.2008  18:04           435.896 perfh009.dat
25.05.2008  18:04            81.478 perfc007.dat
25.05.2008  18:04            68.540 perfc009.dat
25.05.2008  18:04         1.052.974 PerfStringBackup.INI
25.05.2008  01:09             4.556 LOCALSERVICE.INI
24.05.2008  19:10               205 REMOTEDEVICE.INI
24.05.2008  19:10               991 bscs.ini
24.05.2008  19:10               102 LOCALDEVICE.INI
23.05.2008  00:22           524.288 DivXsm.exe
23.05.2008  00:22             4.816 divxsm.tlb
23.05.2008  00:22            10.152 dsm_de.qm
23.05.2008  00:22         3.596.288 qt-dx331.dll
23.05.2008  00:20         1.044.480 libdivx.dll
23.05.2008  00:20           200.704 ssldivx.dll
23.05.2008  00:19           196.608 dtu100.dll
23.05.2008  00:19               416 dpl100.dll.manifest
23.05.2008  00:19               416 dtu100.dll.manifest
23.05.2008  00:19            81.920 dpl100.dll
23.05.2008  00:19             3.051 dtu_de.qm
23.05.2008  00:19           352.401 DivXMedia.ax
23.05.2008  00:19           161.096 DivXCodecVersionChecker.exe
23.05.2008  00:18            12.288 DivXWMPExtType.dll


 
----- Prefetch ------------------------- 

 Verzeichnis von C:\WINDOWS\Prefetch

23.06.2008  11:58            48.326 MINIDM.EXE-13C44006.pf
23.06.2008  11:55            30.028 AVWSC.EXE-2F6C3C95.pf
23.06.2008  11:54            28.148 NOTEPAD.EXE-336351A9.pf
23.06.2008  11:54            34.014 WMIPRVSE.EXE-28F301A9.pf
23.06.2008  11:52            16.260 VERCLSID.EXE-3667BD89.pf
23.06.2008  11:52           106.130 WINWORD.EXE-0B995611.pf
23.06.2008  11:45            51.532 DRWTSN32.EXE-2B4B52AC.pf
23.06.2008  11:45           109.040 IEXPLORE.EXE-2CA9778D.pf
23.06.2008  11:44            40.002 TASKMGR.EXE-20256C55.pf
23.06.2008  11:44            32.016 OPTIONSAPP.EXE-0A6527F8.pf
23.06.2008  11:44            22.236 GUARDGUI.EXE-1BD45C30.pf
23.06.2008  11:44            38.898 GIRDER.EXE-139B600D.pf
23.06.2008  11:44            27.694 WINDOWSSEARCH.EXE-2B3C04CE.pf
23.06.2008  11:44            19.044 WDS_SL.EXE-39D8C971.pf
23.06.2008  11:44            26.430 MOUSOMETER.EXE-05F07FCF.pf
23.06.2008  11:44            19.324 OODLED.EXE-38E9503D.pf
23.06.2008  11:44            36.436 NTUNECMD.EXE-01ADA1AA.pf
23.06.2008  11:44            60.286 YODM3D.EXE-160C2EC8.pf
23.06.2008  11:44            27.554 ICOOL.EXE-28B37792.pf
23.06.2008  11:44             8.570 QTTASK.EXE-2D7EEF34.pf
23.06.2008  11:39            22.764 PEN_TABLET.EXE-103B76A7.pf
23.06.2008  11:37            18.016 IMAPI.EXE-0BF740A4.pf
23.06.2008  11:37            13.938 RUNDLL32.EXE-451FC2C0.pf
23.06.2008  11:32            40.066 WINDOWSSEARCHFILTER.EXE-1836FBC3.pf
23.06.2008  11:07            18.970 SVCHOST.EXE-3530F672.pf
23.06.2008  11:05            73.324 WINDOWSSEARCHINDEXER.EXE-23D0FAED.pf
23.06.2008  10:25            84.282 WINRAR.EXE-3588DFE8.pf
23.06.2008  09:43            67.458 ACRORD32.EXE-153330F0.pf
22.06.2008  21:55            43.246 WGATRAY.EXE-0ED38BED.pf
22.06.2008  21:37            74.978 AVNOTIFY.EXE-22AE9451.pf
22.06.2008  20:50            25.902 REGEDIT.EXE-1B606482.pf
22.06.2008  18:01            66.498 UPDATE.EXE-13D57D76.pf
22.06.2008  18:00            17.850 PREUPD.EXE-358AA1C1.pf
22.06.2008  15:42            32.978 TU_LOGONUI.EXE-13678975.pf
22.06.2008  14:50            68.530 ADOBEUPDATER.EXE-370FC314.pf
22.06.2008  14:50            52.482 MSFEEDSSYNC.EXE-25E13438.pf
21.06.2008  18:00            20.048 ONECLICKSTARTER.EXE-209CBCDD.pf
21.06.2008  17:13            56.260 WMIAPSRV.EXE-1E2270A5.pf
21.06.2008  17:09            84.904 WUAUCLT.EXE-399A8E72.pf
21.06.2008  16:37            18.966 SNDVOL32.EXE-383480B7.pf
21.06.2008  14:13            11.190 ALCMTR.EXE-235F9538.pf
21.06.2008  12:55            44.994 NMIndexStoreSvr.exe-1DBCF9FD.pf
21.06.2008  12:55            21.338 NMBGMONITOR.EXE-0BC10095.pf
21.06.2008  10:49            79.262 WMPLAYER.EXE-09969332.pf
20.06.2008  10:48            13.358 RUNDLL32.EXE-268BFF96.pf
20.06.2008  10:40            64.314 NVCPLUI.EXE-315CED5C.pf
19.06.2008  23:30            92.330 VLC.EXE-0391A86E.pf
19.06.2008  19:58            56.346 SHOWTIME.EXE-1713ECDC.pf
19.06.2008  18:49            82.532 ICQ.EXE-3425F561.pf
19.06.2008  13:54            48.120 RUNDLL32.EXE-33732DCD.pf
19.06.2008  11:35            81.078 EXCEL.EXE-3AB61D88.pf
18.06.2008  10:51            21.130 DRIVESPEED.EXE-33A82D25.pf
17.06.2008  18:01            67.202 OBLIVION.EXE-11197BED.pf
16.06.2008  20:01           100.694 ACRORD32INFO.EXE-19D979CC.pf
16.06.2008  13:58            29.656 RUNDLL32.EXE-478014C7.pf
16.06.2008  13:58            29.850 RUNDLL32.EXE-15D95F13.pf
16.06.2008  13:58            29.656 RUNDLL32.EXE-15161C0F.pf
16.06.2008  13:58            29.754 RUNDLL32.EXE-312A4005.pf
16.06.2008  13:57            29.794 RUNDLL32.EXE-146437AF.pf
16.06.2008  13:56            28.652 KEEPASS.EXE-11B60CDF.pf
16.06.2008  13:55            30.368 RUNDLL32.EXE-37C8CDC2.pf
16.06.2008  13:44            29.914 RUNDLL32.EXE-1C3E2814.pf
16.06.2008  13:36            35.806 RUNDLL32.EXE-13175F52.pf
16.06.2008  13:36            23.682 WINMZR.EXE-3668E126.pf
16.06.2008  09:13            34.036 RUNDLL32.EXE-3E3A810D.pf
16.06.2008  09:01            29.832 RUNDLL32.EXE-12E4212E.pf
16.06.2008  08:55            29.686 RUNDLL32.EXE-262FA4BA.pf
15.06.2008  22:39            22.118 KEEPASS.EXE-23BE169F.pf
15.06.2008  22:39            22.064 KEEPASS.EXE-1FE8EF2B.pf
15.06.2008  22:32            57.008 RUNDLL32.EXE-4A8A6EF4.pf
15.06.2008  22:32            22.484 KEEPASS.EXE-35229DBD.pf
15.06.2008  22:23            57.020 RUNDLL32.EXE-2C3ECF88.pf
15.06.2008  22:21            57.020 RUNDLL32.EXE-192CA650.pf
15.06.2008  22:19            53.164 MSHTA.EXE-331DF029.pf
15.06.2008  22:19            16.494 RUNDLL32.EXE-19F507BE.pf
15.06.2008  22:12            57.106 RUNDLL32.EXE-1CF43AB1.pf
15.06.2008  21:35            57.008 RUNDLL32.EXE-38B3F8E4.pf
15.06.2008  20:47            56.996 RUNDLL32.EXE-373B7BAD.pf
15.06.2008  20:40            57.122 RUNDLL32.EXE-3AED9E06.pf
15.06.2008  20:38            15.866 WINHLP32.EXE-2C18E975.pf
15.06.2008  20:38            15.516 PCONOFFTIME.EXE-19D67E8E.pf
15.06.2008  20:35            13.580 TRUECRYPT.EXE-308DBAA5.pf
15.06.2008  18:45            56.506 RUNDLL32.EXE-3534A556.pf
15.06.2008  17:01            57.102 RUNDLL32.EXE-198216EE.pf
15.06.2008  16:44            40.302 AVEDESK.EXE-1B8308E5.pf
15.06.2008  16:37            14.592 SNIPPINGTOOL.EXE-2F8BF228.pf
15.06.2008  16:33            29.288 WINMZR3-5-0_SETUP.EXE-1C3CC840.pf
15.06.2008  16:19            56.566 RUNDLL32.EXE-2803AD59.pf
15.06.2008  16:08            24.410 RUNDLL32.EXE-4188F50A.pf
15.06.2008  15:35            23.716 RUNDLL32.EXE-3F6FDD03.pf
15.06.2008  15:12            56.558 RUNDLL32.EXE-3E4D5811.pf
15.06.2008  14:52            27.906 RUNDLL32.EXE-1557674B.pf
15.06.2008  14:29            23.218 RUNDLL32.EXE-2A3DBB78.pf
15.06.2008  14:29            23.370 RUNDLL32.EXE-170800C8.pf
15.06.2008  14:28            22.442 RUNDLL32.EXE-4718532B.pf
15.06.2008  14:24            26.898 RUNDLL32.EXE-31A72CB3.pf
15.06.2008  14:24            25.750 RUNDLL32.EXE-44EF1755.pf
15.06.2008  14:24            24.148 RUNDLL32.EXE-2978C9E3.pf
15.06.2008  14:23            24.392 RUNDLL32.EXE-280FDCEF.pf
15.06.2008  14:22            22.778 RUNDLL32.EXE-3983973C.pf
15.06.2008  14:22            35.130 RUNDLL32.EXE-26900EC0.pf
15.06.2008  14:21            23.114 RUNDLL32.EXE-195D336C.pf
15.06.2008  14:21            23.736 RUNDLL32.EXE-1648670D.pf
15.06.2008  14:21            24.826 RUNDLL32.EXE-27898C4E.pf
15.06.2008  14:21            22.788 RUNDLL32.EXE-4325F947.pf
15.06.2008  14:21            24.758 RUNDLL32.EXE-1999FA85.pf
15.06.2008  14:21            23.586 RUNDLL32.EXE-380AF3B2.pf
15.06.2008  14:21            28.336 RUNDLL32.EXE-23E625BF.pf
15.06.2008  14:21            28.156 RUNDLL32.EXE-38966288.pf
15.06.2008  14:21            27.770 RUNDLL32.EXE-13FE23BA.pf
15.06.2008  13:55            22.370 RUNDLL32.EXE-49DB260B.pf
15.06.2008  13:52            22.778 RUNDLL32.EXE-2D621E89.pf
15.06.2008  13:52            24.964 RUNDLL32.EXE-25F74F4F.pf
15.06.2008  13:51            23.700 RUNDLL32.EXE-4492E801.pf
15.06.2008  13:45            82.170 POWERCONVERTER.EXE-2F22B3B9.pf
15.06.2008  13:45            55.138 LIMEWIRE.EXE-1CE6208C.pf
15.06.2008  10:54            59.114 RUNDLL32.EXE-2F53D896.pf
15.06.2008  10:46            57.738 RUNDLL32.EXE-319EE65C.pf
15.06.2008  10:43            56.494 RUNDLL32.EXE-2C3E0314.pf
15.06.2008  10:38            57.094 RUNDLL32.EXE-35896585.pf
15.06.2008  10:14            57.122 RUNDLL32.EXE-146860AE.pf
15.06.2008  09:57            56.494 RUNDLL32.EXE-38E23E29.pf
15.06.2008  09:31            95.258 DFRGNTFS.EXE-269967DF.pf
15.06.2008  09:31            17.760 DEFRAG.EXE-273F131E.pf
15.06.2008  09:31           494.312 Layout.ini
14.06.2008  23:57           134.856 DWWIN.EXE-30875ADC.pf
14.06.2008  17:06           110.106 CRYSIS.EXE-216FF10A.pf
14.06.2008  09:19            69.840 ALG.EXE-0F138680.pf
11.06.2008  10:56             6.434 AVRDUDE.EXE-0281F2B4.pf
22.05.2008  11:47         1.281.976 NTOSBOOT-B00DFAAD.pf
 
----- Windows -------------------------- 


 Verzeichnis von C:\WINDOWS

23.06.2008  11:58               159 wiadebug.log
23.06.2008  11:58                50 wiaservc.log
23.06.2008  11:43            15.600 gdrv.sys
23.06.2008  11:42                 0 0.log
23.06.2008  11:42             2.048 bootstat.dat
23.06.2008  11:39            32.042 SchedLgU.Txt
23.06.2008  11:39         1.091.995 WindowsUpdate.log
22.06.2008  21:02               227 system.ini
22.06.2008  21:02               582 win.ini
22.06.2008  16:22               225 setupact.log
22.06.2008  16:22            14.989 setupapi.log
22.06.2008  15:27           261.946 ntbtlog.txt
22.06.2008  14:56           110.455 BM43b71b75.xml
22.06.2008  14:51               815 BM43b71b75.txt
22.06.2008  14:50                21 pskt.ini
21.06.2008  14:12               689 OEWABLog.txt
21.06.2008  11:02               622 tabletoc.log
21.06.2008  11:02            13.280 iis6.log
21.06.2008  11:02             1.374 imsins.log
21.06.2008  11:02               811 ocmsn.log
21.06.2008  11:02             4.573 comsetup.log
21.06.2008  11:02             3.064 ntdtcsetup.log
21.06.2008  11:02             7.412 tsoc.log
21.06.2008  11:02             9.889 KB951376-v2.log
21.06.2008  11:02             1.144 MedCtrOC.log
21.06.2008  11:02             2.675 netfxocm.log
21.06.2008  11:02             8.772 ocgen.log
21.06.2008  11:02               788 msgsocm.log
21.06.2008  11:02            12.972 FaxSetup.log
21.06.2008  11:02             3.726 msmqinst.log
20.06.2008  12:29             1.917 imsins.BAK
19.06.2008  23:38                43 FFS20ChtReg.ini
19.06.2008  23:30                43 FFS20DeuReg.ini
19.06.2008  20:41               116 NeroDigital.ini
18.06.2008  10:41                 0 nsreg.dat
17.06.2008  18:10                23 BlendSettings.ini
26.05.2008  11:30               285 w32demo8.ini
23.05.2008  12:37                41 OPML8WP.INI
21.05.2008  13:11                23 popcinfot.dat

 
----- Tasks ---------------------------- 


 Verzeichnis von C:\WINDOWS\tasks

23.06.2008  11:55               430 User_Feed_Synchronization-{1C5FDA65-85E0-47C4-90B2-7058C4979997}.job
23.06.2008  11:42               508 1-Klick-Wartung.job
23.06.2008  11:42                 6 SA.DAT
17.06.2008  09:07               276 AppleSoftwareUpdate.job
 
----- Wintemp -------------------------- 
 

 Verzeichnis von C:\WINDOWS\temp

23.06.2008  11:43               409 WGANotify.settings
23.06.2008  11:42            16.384 Perflib_Perfdata_1e0.dat
23.06.2008  11:42               255 WGAErrLog.txt
22.06.2008  20:56            16.384 Perflib_Perfdata_768.dat
22.06.2008  20:52            16.384 Perflib_Perfdata_760.dat
22.06.2008  16:22            16.384 Perflib_Perfdata_94.dat
22.06.2008  16:02            16.384 Perflib_Perfdata_7e8.dat
22.06.2008  15:49            16.384 Perflib_Perfdata_7ec.dat
22.06.2008  15:47            16.384 Perflib_Perfdata_7f8.dat
22.06.2008  14:45            16.384 Perflib_Perfdata_76c.dat
21.06.2008  17:08            16.384 Perflib_Perfdata_c0.dat
 
----- Temp ----------------------------- 
 
 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

23.06.2008  11:58           147.660 filelist.txt
23.06.2008  11:54           114.688 ~DFDB39.tmp
23.06.2008  11:43            16.384 Perflib_Perfdata_c24.dat
23.06.2008  10:40               274 sarscan.log
23.06.2008  09:58        11.440.786 Azureus3.1.0.0.jar
23.06.2008  09:56            10.332 AZU45089.tmp
23.06.2008  09:56            77.824 swt-gdip-win32-3430.dll
23.06.2008  09:56           323.584 swt-win32-3430.dll
22.06.2008  21:12            16.384 ~DFC84F.tmp
22.06.2008  21:09            16.384 ~DFB928.tmp
22.06.2008  20:59            16.384 Perflib_Perfdata_6a0.dat
22.06.2008  20:53            32.768 ~DFDF3E.tmp
22.06.2008  20:36            32.768 ~DFC61.tmp
22.06.2008  16:24            16.384 Perflib_Perfdata_bcc.dat
22.06.2008  14:56            22.287 b336x280.tmp
22.06.2008  14:56            22.287 b468x60.tmp
22.06.2008  14:56            22.287 b720x300.tmp
22.06.2008  14:56            22.287 b728x90.tmp
22.06.2008  14:56            22.287 b300x100.tmp
22.06.2008  14:56            22.287 b120x240.tmp
22.06.2008  14:56            22.287 b250x250.tmp
22.06.2008  14:56            22.287 b240x400.tmp
22.06.2008  14:56            22.287 b234x60.tmp
22.06.2008  14:56            22.287 b180x150.tmp
22.06.2008  14:56            22.287 b300x250.tmp
22.06.2008  14:56            22.287 b120x600.tmp
22.06.2008  14:56            22.287 b120x90.tmp
22.06.2008  14:56            22.287 b160x600.tmp
22.06.2008  14:56            22.287 b125x125.tmp
22.06.2008  14:45            16.384 Perflib_Perfdata_54c.dat
21.06.2008  17:12            22.263 Turkish.bin
21.06.2008  17:12            21.975 Norwegian.bin
21.06.2008  17:12            26.094 Hungarian.bin
21.06.2008  17:12            19.564 Hebrew.bin
21.06.2008  17:12            22.868 Finnish.bin
21.06.2008  17:12            24.321 Czech.bin
21.06.2008  17:12            25.082 Portuguese(Brazil).bin
21.06.2008  17:12            25.093 Greek.bin
21.06.2008  17:12            24.232 Polish.bin
21.06.2008  17:12            21.987 Thai.bin
21.06.2008  17:12            20.991 Arabic.bin
21.06.2008  17:12            16.420 SimChin.bin
21.06.2008  17:12            26.271 Portuguese.bin
21.06.2008  17:12            21.944 English.bin
21.06.2008  17:12            24.093 SWEDISH.bin
21.06.2008  17:12            27.764 Spanish.bin
21.06.2008  17:12            26.136 Russian.bin
21.06.2008  17:12            27.421 Italian.bin
21.06.2008  17:12            25.764 German.bin
21.06.2008  17:12            27.245 French.bin
21.06.2008  17:12            16.962 TradChin.bin
21.06.2008  17:12            25.758 Dutch.bin
21.06.2008  17:12            22.794 Danish.bin
21.06.2008  17:12            20.145 Korean.bin
21.06.2008  17:12            24.310 Japanese.bin
21.06.2008  17:02            30.882 log.txt
18.06.2008  18:23               132 C7572AE1.TMP
         
Backlite hat nichts gefunden und hier nich der SmitFraudFix v2.328 log

Code:
ATTFilter
SmitFraudFix v2.328

Scan done at 13:00:37,14, 23.06.2008
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\REVOLTEC\FightBoard Advanced 1.00\FightBoard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\GIGABYTE\I-Cool\icool.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Yodm3D.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OO Software\DriveLED\oodled.exe
C:\Programme\girder\Girder.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\mousometer.exe
C:\Programme\IEPro\MiniDM.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Java\jre1.5.0_05\bin\jucheck.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 82.144.41.8
DNS Server Search Order: 62.220.18.8

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7AB6B54B-E3D8-48BA-BD7F-AE335D918693}: NameServer=82.144.41.8 62.220.18.8
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7AB6B54B-E3D8-48BA-BD7F-AE335D918693}: NameServer=82.144.41.8 62.220.18.8


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
         
__________________


Geändert von olitoll (23.06.2008 um 13:05 Uhr)

Antwort

Themen zu Extrem Wiederspänstiger Vundo/Gen
administrator, antivir, avira, boot cd, desktop, download, einstellungen, excel, fehler, festplatte, free download, gigabyte, hijack, hijackthis, hkus\s-1-5-18, icq, internet, internet explorer, microsoft, nvidia, preferences, programme, rootkit, senden, starten, suchlauf, system, trojaner, vundo, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Extrem Wiederspänstiger Vundo/Gen


  1. Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (28)
  2. TR/Vundo.Gen; TR/Vundo.fnr.6 entfernen ?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2009 (9)
  3. Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18
    Log-Analyse und Auswertung - 22.12.2008 (13)
  4. TR/Vundo.fxr.32 und TR/Vundo.fxr.32
    Log-Analyse und Auswertung - 22.11.2008 (3)
  5. TR Vundo
    Mülltonne - 20.11.2008 (0)
  6. TR/Vundo.ful.9
    Mülltonne - 06.11.2008 (0)
  7. TR/Vundo.fnr.6; TR/Vundo.Gen; TR/Crypt/Morphine.Gen....
    Mülltonne - 27.10.2008 (0)
  8. Vundo
    Mülltonne - 25.06.2008 (1)
  9. TR/Vundo.Gen
    Mülltonne - 25.06.2008 (0)
  10. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  11. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  12. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)
  13. TR/Vundo.gen TR/vundo.AC Bitte um Hilfe
    Log-Analyse und Auswertung - 22.03.2008 (10)
  14. TR/Vundo.Gen und TR/Vundo.dvc1 bekämpfen
    Log-Analyse und Auswertung - 09.01.2008 (18)
  15. TR/Vundo.Gen
    Log-Analyse und Auswertung - 30.11.2007 (21)
  16. Wie kann ich TR/Vundo.AH und TR/Vundo.Gen entfernen?
    Log-Analyse und Auswertung - 24.03.2007 (6)
  17. TR/Vundo.Gen + TR/BHO.G.3
    Log-Analyse und Auswertung - 09.12.2006 (3)

Zum Thema Extrem Wiederspänstiger Vundo/Gen - Hallo, da dies mein erstes Post ist, hoffe ich nicht alt so viele Fehler zu machen. Ich habe mir vor ein paar tagen den Trojaner Vundo eingefangen (per mail) Symptome: - Extrem Wiederspänstiger Vundo/Gen...
Archiv
Du betrachtest: Extrem Wiederspänstiger Vundo/Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.