Hallo ihr lieben,

ich schreibe nun hier zum erstenmal wenn also infos fehlen bitte fragen nicht gleich in den Müll werfen.Danke

Ich habe XP Service Pack 2 und Norton. Norton meldet mir den Trojan.Vundo laufend mehrmals am Tag. Habe ihn mir über MSN geholt üder einen Link der angeblich Bilder von einer Freundin anzeigt leider war ich zu dumm um genau zu gucken.

erst mal das log file
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:44:31, on 12.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Maleware Bericht:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1387
Windows 5.1.2600 Service Pack 2

12.11.2008 08:58:22
mbam-log-2008-11-12 (08-58-22).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 95534
Laufzeit: 1 hour(s), 3 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Antivirus 2009 (Rogue.Antivirus 2009) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.


Hoffe nun könnt ihr mir helfen...

Danke

sorry falsches Forum setze ihn nochmal ins richtige kann dann in den Müll

Malwarebytes hat dir schon das meiste gelöscht, du solltest aber trotzdem folgende Werte noch Fixen:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {B0B3393C-62D1-44D8-ABF5-08E0F067F29E} - C:\WINDOWS\system32\byXnkjIY.dll (file missing)

O2 - BHO: (no name) - {068EAB7A-DE8E-4C79-BFCC-33FAC37833CA} - C:\WINDOWS\system32\byXNdbCV.dll (file missing)

O9 - Extra button: Secret City - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - C:\PROGRA~1\SECRET~1\SECRET~1.EXE (file missing)
         

Dieser wert kommt mir auch etwas seltsam vor, warte aber erst noch bis sich jemand zu diesem geäußert hat:

Code: Alles auswählenAufklappen

ATTFilter

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
         

Mfg
Syne

@conny

Bitte noch folgendes durchführen:


ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Also ich hoffe ich hab alles richtig gemacht.

Norton war nur deaktiviert hoffe das genügt. Aber Norton online was ich habe kann ich nicht schließen. Hatte in der Autostart aber alles deaktieviert. Hier also die CoboFix Datei:

ComboFix 08-11-11.01 - Administrator 2008-11-12 17:52:49.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.731 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe

* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\MSINET.oca
c:\windows\system32\VCbdNXyb.ini
c:\windows\system32\VCbdNXyb.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-12 bis 2008-11-12 ))))))))))))))))))))))))))))))
.

2008-11-12 09:40 . 2008-11-12 09:40 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SpinTop
2008-11-12 09:18 . 2008-11-12 09:18 <DIR> d-------- c:\programme\GoBit Games
2008-11-12 09:18 . 2008-11-12 09:18 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\GoBit Games
2008-11-12 07:52 . 2008-11-12 07:52 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-12 07:52 . 2008-11-12 07:52 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-12 07:52 . 2008-11-12 07:52 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-11-12 07:52 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-12 07:52 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-11 19:39 . 2008-11-11 19:39 268 --ah----- C:\sqmdata02.sqm
2008-11-11 19:39 . 2008-11-11 19:39 244 --ah----- C:\sqmnoopt02.sqm
2008-11-11 19:36 . 2008-11-11 19:36 268 --ah----- C:\sqmdata01.sqm
2008-11-11 19:36 . 2008-11-11 19:36 244 --ah----- C:\sqmnoopt01.sqm
2008-11-10 07:18 . 2008-11-10 07:18 <DIR> d-------- c:\programme\Bonjour
2008-11-10 07:12 . 2008-11-10 10:37 <DIR> d-------- c:\programme\QuickTime
2008-11-10 07:12 . 2008-11-10 07:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-11-10 07:04 . 2008-11-10 07:12 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2008-11-07 16:47 . 2008-11-07 16:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\GameHouse
2008-11-06 15:15 . 2008-11-06 15:14 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-01 15:51 . 2008-11-01 15:51 <DIR> d-------- c:\programme\coolspot AG
2008-11-01 15:50 . 2007-07-19 18:14 3,727,720 --a------ c:\windows\system32\d3dx9_35.dll
2008-11-01 15:48 . 2008-11-01 15:48 <DIR> d-------- c:\windows\Logs
2008-11-01 15:47 . 2008-11-01 15:49 <DIR> d--h----- c:\windows\msdownld.tmp
2008-10-27 13:13 . 2008-10-27 13:13 <DIR> d-------- c:\programme\mssql7
2008-10-27 13:13 . 2008-10-27 13:13 <DIR> d-------- C:\Daten
2008-10-26 17:22 . 2008-10-26 17:23 439,614 --a------ c:\windows\Camera Plus Wallpaper.bmp
2008-10-26 12:18 . 2008-10-26 12:18 <DIR> d-------- c:\programme\honestech
2008-10-21 16:29 . 2007-12-03 16:49 127,918 --------- c:\windows\hpoins11.dat.temp
2008-10-21 16:29 . 2006-05-06 01:21 11,634 --------- c:\windows\hpomdl11.dat.temp
2008-10-17 18:10 . 2008-10-17 18:10 <DIR> d-------- C:\coolspot AG

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 16:56 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2008-11-12 16:44 --------- d-----w c:\programme\Yahoo!
2008-11-12 14:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2008-11-12 08:41 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-10 10:11 --------- d-----w c:\programme\Winamp
2008-11-06 14:14 --------- d-----w c:\programme\Java
2008-10-26 11:18 --------- d--h--w c:\programme\InstallShield Installation Information
2008-10-22 13:28 --------- d-----w c:\programme\DivX
2008-10-21 06:04 --------- d-----w c:\programme\Zylom Games
2008-10-09 14:18 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ashampoo
2008-10-09 13:37 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ebay
2008-10-04 13:50 --------- d-----w c:\programme\Acclaim Entertainment
2008-09-24 06:54 --------- dcsh--w c:\programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-09-24 06:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-09-23 19:27 --------- d-----w c:\programme\ICQ6
2008-09-23 10:42 --------- d-----w c:\programme\NOS
2008-09-23 10:42 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-09-23 09:58 --------- d-----w c:\programme\Lohn
2008-07-14 08:55 308,600 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonProtectionMemo.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"T-Online Dialerschutz-Software"="c:\programme\T-Online\Dialerschutz-Software\Defender.exe" [2008-06-23 1387048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
--a------ 2008-10-17 15:52 51048 c:\programme\Gemeinsame Dateien\Symantec Shared\CCAPP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online Dialerschutz-Software]
--a------ 2008-06-23 12:50 1387048 c:\programme\T-Online\Dialerschutz-Software\defender.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LiveUpdate Notice"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"c:\\Programme\\moWARE\\KassaFree\\KassaServer.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

R2 DFSVC;T-Online Dialerschutz Dienst;c:\programme\T-Online\Dialerschutz-Software\DFInject.exe [2007-01-29 179016]
R2 MSSQL$MOWARE;MSSQL$MOWARE;c:\programme\Microsoft SQL Server\MSSQL$MOWARE\Binn\sqlservr.exe [2002-12-17 7520337]
R3 DFSYS;T-Online Dialerschutz Hooking Treiber;c:\programme\T-Online\Dialerschutz-Software\DFSYS.SYS [2007-01-29 14536]
R3 SipIMNDI;T-Online Dialerschutz VoIP Service;c:\windows\system32\DRIVERS\SipIMNDI.sys [2007-01-29 22856]
S3 COH_Mon;COH_Mon;c:\windows\system32\Drivers\COH_Mon.sys [2008-07-30 23888]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-08-29 33752]
S3 SQLAgent$MOWARE;SQLAgent$MOWARE;c:\programme\Microsoft SQL Server\MSSQL$MOWARE\Binn\sqlagent.EXE [2002-12-17 311872]
S4 LiveUpdate Notice;LiveUpdate Notice;c:\programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe [2008-10-17 149352]

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners

2008-11-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe []

2008-11-12 c:\windows\Tasks\Norton Internet Security Online - Systemprüfung ausführen - Administrator.job
- c:\programme\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-27 02:19]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellExecuteHooks-{B0B3393C-62D1-44D8-ABF5-08E0F067F29E} - (no file)
Notify-dimsntfy - (no file)
MSConfigStartUp-msnmsgr - c:\programme\Windows Live\Messenger\msnmsgr.exe
MSConfigStartUp-Shockwave Updater - c:\windows\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\s1x1fqfu.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://de.search.yahoo.com/search?ei=UTF-8&fr=ytff-msgr&p=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.yahoo.com/?.home=ytff
FF -: plugin - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\s1x1fqfu.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\plugins\np_gp.dll
FF -: plugin - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - c:\programme\GoBit Games\BrowserPlugin\npgobitgamesplugin.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - c:\programme\mozilla firefox\plugins\np_gp.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\np_gp.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npdeploytk.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npgobitgamesplugin.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF -: plugin - c:\programme\Yahoo!\Shared\npYState.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-12 17:56:59
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

c:\programme\T-Online\Dialerschutz-Software\defender.exe [4060] 0x857D6020

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OMSCAN]
"ImagePath"="\Sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: c:\windows\system32\winlogon.exe
-> c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-12 18:02:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-12 17:02:19

Vor Suchlauf: 18 Verzeichnis(se), 20.087.296.000 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 20,021,207,040 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

195 --- E O F --- 2008-05-16 16:21:03



Diesen Eintrag hab ich nicht gefixt
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local

richtig?

Richtig.


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\deploytk.dll
c:\windows\msdownld.tmp
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen