Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.11.2008, 19:54   #1
colle
 
combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A - Standard

combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A



Hallo Leute,
ich möchte den Virus TR/Vundo.FUL.9.A entfernen und Habe hier im Forum eine Anleitung gefunden.
Dabei soll das Programm combofix benuzt werden.
Combofix startet aber nicht und meldet:
Inkompatibles Betriebssystem. ComboFix läuft nur unter Windows 2000 und XP.
Da ich aber Win 2000 nutze weiß ich nicht weiter
Weiß jemand wie ich ComboFix zum laufen bringe, oder den Virus ohne entfernen kann.
Grüüße colle

Alt 21.11.2008, 22:06   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A - Icon32

combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A



Wie wärs wenn Du zuerst mal ein HijackThis Logfile posten würdest?
Wenn Du das gepostet hast lässt Du bitte mal Malwarebytes Antimalware durchlaufen, danach sehen wir weiter.
__________________

__________________

Alt 21.11.2008, 22:30   #3
colle
 
combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A - Standard

combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A



Hi Root24
Das miststück soll in laut Antivir hier sitzen:
C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.core.dll

hier das logfile

Logfile of HijackThis v1.99.1
Scan saved at 22:23:23, on 21.11.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Microsoft SQL Server\MSSQL$CMX\Binn\sqlservr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Daten+Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelDrv.exe] C:\WINNT\System32\KernelDrv.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe


Hoffe es kann jemand helfen
grüße colle
__________________

Alt 21.11.2008, 22:33   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A - Ausrufezeichen

combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A



Das war eine alte Version von hijackthis! Also:

Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.11.2008, 22:42   #5
colle
 
combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A - Standard

combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A



hi
das umbenannte geht bei mir nicht hab das aktuelle von Trend Micro geladen hoffe das ist OK ?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:35:36, on 21.11.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Microsoft SQL Server\MSSQL$CMX\Binn\sqlservr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Daten+Programme\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelDrv.exe] C:\WINNT\System32\KernelDrv.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user')
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe

--
End of file - 5108 bytes

colle


Alt 21.11.2008, 22:58   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A - Standard

combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A



Hallo

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe
C:\WINNT\System32\KernelDrv.exe
         
Danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
files to delete:
C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe
C:\WINNT\System32\KernelDrv.exe
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
  • Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!! - wenn die wieder "nicht geht" benenn die bitte in pruef.com oder so um
__________________
--> combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A

Alt 23.11.2008, 16:06   #7
colle
 
combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A - Standard

combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A



Hi root24
erstmal danke für deine bisherige Hilfe und deine Bemühungen.

Leider ist entweder mein system bockig oder ich zu dumm. sorry
hab die einzelnen Schritte so durchgefüht wie beschrieben.

Bei Virustotal.com bekomme ich für
C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe
folgendes Ergebniss:
http://www.virustotal.com/de/analisis/880056d160e4c3a2d22442b3b7955ac6
die 2 Datei (C:\WINNT\System32\KernelDrv.exe) ist nicht zu finden ????

Wenn ich die beiden Dateien bei Avenger eingebe kommt folgende Fehlermeldung:
Error: Invalide script. A valid script must begin with a command directive,
Aborting execution

Was mache ich falsch ?
Grüße colle

Alt 23.11.2008, 16:09   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A - Icon32

combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A



Zitat:
Error: Invalide script. A valid script must begin with a command directive,
Aborting execution

Was mache ich falsch ?
Du musst ins script auch alles reinkopieren, inkl. "files to delete:"
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.11.2008, 19:58   #9
colle
 
combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A - Standard

combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A



Hi
DANKE
Also es scheint zu klappen hier das file von Avenger:
//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows 2000

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "2ff80d3dcfec92c5" found!
DisplayName: Microsoft DDE+ server
ImagePath: C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe
Driver disabled successfully.

Rootkit scan completed.

File "C:\WINNT\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe" deleted successfully.

Error: file "C:\WINNT\System32\KernelDrv.exe" not found!
Deletion of file "C:\WINNT\System32\KernelDrv.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Hier das Logfile von HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:51:00, on 24.11.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Microsoft SQL Server\MSSQL$CMX\Binn\sqlservr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Daten+Programme\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelDrv.exe] C:\WINNT\System32\KernelDrv.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user')
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe

--
End of file - 4894 bytes

zZ kommt kein Vierenalarm mehr. Muß ich noch mehr tun bzw etwas löschen?
Grüße colle

Geändert von colle (24.11.2008 um 20:05 Uhr)

Alt 24.11.2008, 20:21   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A - Standard

combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A



O4 - HKLM\..\Run: [KernelDrv.exe] C:\WINNT\System32\KernelDrv.exe

Diesen Eintrag fixen!

Sei doch auch bitte so nett und schick mir die Datei c:\avenger\backup.zip per Mail. => root240(at)arcor.de

in dieser backup.zip sind die vom Avenger gelöschten Dateien.

Versuch jetzt auch nochmal den Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.11.2008, 21:25   #11
colle
 
combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A - Standard

combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A



Hi root24
Die Datei ist per mail unterwegs.
Jetzt läuft auch combofix

Code:
ATTFilter
ComboFix 08-11-23.02 - colle 24.11.2008 21:03:58.1 - NTFSx86
Microsoft Windows 2000 Professional  5.0.2195.4.1252.1.1031.18.632 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\Downloaded Program Files\setup.inf
c:\winnt\system32\ksvcl.dll
c:\winnt\system32\mdm.exe
c:\winnt\system32\qmopt.dll
c:\winnt\Web\default.htt

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Legacy_LANMANDRV
-------\Service_Iprip
-------\Service_lanmandrv


(((((((((((((((((((((((   Dateien erstellt von 2008-10-24 bis 2008-11-24  ))))))))))))))))))))))))))))))
.

2008-11-24 21:07 . 08-11-24 21:07 	16,384	--a----t-	c:\winnt\system32\Perflib_Perfdata_2b8.dat
2008-11-24 21:07 . 08-11-24 21:07 	16,384	--a----t-	c:\winnt\system32\Perflib_Perfdata_248.dat
2008-11-24 20:51 . 08-11-24 20:51 	<DIR>	d--------	c:\programme\Yahoo!
2008-11-24 20:51 . 08-11-24 20:51 	<DIR>	d--------	c:\programme\CCleaner
2008-11-01 12:13 . 08-11-09 11:54 	54,156	--ah-----	c:\winnt\QTFont.qfn
2008-11-01 12:13 . 08-11-01 12:13 	1,409	--a------	c:\winnt\QTFont.for

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-24 18:37	---------	d---a-w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-14 22:18	---------	d-----w	c:\dokumente und einstellungen\Michael\Anwendungsdaten\ChessBase
2008-10-20 19:25	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kodak
2008-10-19 17:56	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-10-19 17:56	---------	d-----w	c:\programme\Kodak
2008-02-07 16:47	32	----a-w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-01-03 12:14	271	---h--w	c:\programme\desktop.ini
2007-01-03 12:14	22,080	---h--w	c:\programme\folder.htt
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [05-09-03 15:18  94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [08-07-19 11:01  266497]
"NeroFilterCheck"="c:\winnt\system32\NeroCheck.exe" [01-07-09 11:50  155648]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [06-09-01 15:57  282624]
"Disk Monitor"="c:\programme\IC Card Reader Driver v1.8e2\Disk_Monitor.exe" [02-12-12 13:01  440832]
"Synchronization Manager"="mobsync.exe" [03-06-19 20:05  112400 c:\winnt\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-10 13:00  20752 c:\winnt\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 20:05  189712]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
T-Online DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\TODslMgr.exe [2008-06-04 901120]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"aux"= mmdrv.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\2ff80d3dcfec92c5]
@="Service"

R0 avgntmgr;avgntmgr;c:\winnt\system32\drivers\avgntmgr.sys [2007-01-03 18496]
R1 avgntdd;avgntdd;c:\winnt\system32\DRIVERS\avgntdd.sys [2007-01-03 64448]
R2 MSSQL$CMX;MSSQL$CMX;c:\programme\Microsoft SQL Server\MSSQL$CMX\Binn\sqlservr.exe -sCMX []
R3 NeodioUSBSTOR;IC Card Reader Driver;c:\winnt\system32\DRIVERS\USBNEOD.SYS [2002-11-09 18459]
R3 openhci;Microsoft USB-Open Host-Controllertreiber;c:\winnt\system32\DRIVERS\openhci.sys [1999-12-10 24784]
R3 SiSGbe2K;SiS191/SiS190 Ethernet Device NDIS 5.0 Driver;c:\winnt\system32\DRIVERS\SiSGbe2K.sys [2007-01-03 123776]
R3 usbhub20;USB 2.0 Root Hub Support;c:\winnt\system32\DRIVERS\usbhub20.sys [2007-01-03 49776]
S2 DETEWECP;DeTeWe CapiPort;c:\winnt\system32\drivers\detewecp.sys []
S3 dtwmnic5;DeTeWe OpenCom 36lan;c:\winnt\system32\DRIVERS\dtwmnic5.sys []
S3 SQLAgent$CMX;SQLAgent$CMX;c:\programme\Microsoft SQL Server\MSSQL$CMX\Binn\sqlagent.EXE -i CMX []
S3 TDslMgrService;DSL-Manager;"c:\programme\T-Online\DSL-Manager\DslMgrSvc.exe" [2008-06-04 294912]
S4 2ff80d3dcfec92c5;Microsoft DDE+ server;c:\winnt\system32\.2ff80d3dcfec92c5\2ff80d3dcfec92c5.exe []

*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-NWEReboot - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\g8cgj5yy.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-24 21:09:26
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\winnt\system32\Perflib_Perfdata_65c.dat

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(184)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\msv1_0.dll

- - - - - - - > 'lsass.exe'(248)
c:\winnt\system32\mpr.dll
c:\winnt\system32\rsaenh.dll
.
Zeit der Fertigstellung: 2008-11-24 21:12:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-11-24 20:11:55

Vor Suchlauf: 11.490.095.104 Bytes frei
Nach Suchlauf: 11,897,339,904 Bytes frei

112
         
colle

Alt 24.11.2008, 22:11   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A - Standard

combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A



Hm, Du hast Dir da ja recht hinterhältige malware eingefangen, daher solltest Du überlegen, ob es nicht besser wäre das System neu aufzusetzen. Ich würde es machen.

Mach aber nochmal bitte das hier:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:
ATTFilter
Rootkit::
c:\winnt\system32\Perflib_Perfdata_65c.dat
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A
anleitung, bringe, combofix, entferne, entfernen, forum, gefunde, laufe, laufen, leitung, leute, melde, meldet, nutze, programm, starte, startet, startet nicht, tr/vundo.ful.9.a, virus, win, win2000, windows



Ähnliche Themen: combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A


  1. Laptop startet 5 Min.+, Audio startet nicht automatisch, ESET kann nicht alles in Quarantäne schieben, AdwareBytes findet Bedrohungen
    Log-Analyse und Auswertung - 05.07.2015 (12)
  2. Antivir startet nicht: CCPLG.XML file is missing. Firefox startet nicht: "Couldnt open XPCOM" - Malwarebytes-Bericht beigefügt
    Log-Analyse und Auswertung - 05.10.2013 (3)
  3. GVU Virus, Combofix geht nicht
    Plagegeister aller Art und deren Bekämpfung - 24.09.2012 (7)
  4. 50,-€-Virus unter Win2000
    Plagegeister aller Art und deren Bekämpfung - 28.02.2012 (3)
  5. Datenträgerverwaltung unter XP startet nicht mehr.
    Alles rund um Windows - 20.02.2012 (4)
  6. Gomeo Virus oder User dummheit durch ComboFix ? Windows startet nur Systemstartreperatur!
    Plagegeister aller Art und deren Bekämpfung - 30.06.2011 (1)
  7. Virtumonde.dll - Spybot löscht nicht - Einsatz von ComboFix, VundoFix, VirtumondoBeGone hilft nicht
    Plagegeister aller Art und deren Bekämpfung - 05.12.2010 (19)
  8. Windows Explorer startet unter Vista immer wieder neu
    Alles rund um Windows - 23.03.2010 (1)
  9. combofix startet nicht, Problem mit Malwarebytes
    Log-Analyse und Auswertung - 23.02.2009 (8)
  10. HILFE gegen TR/Vundo.Gen
    Log-Analyse und Auswertung - 16.07.2008 (4)
  11. combofix bericht wegen vundo trojaner bitte um hilfe
    Plagegeister aller Art und deren Bekämpfung - 21.05.2008 (2)
  12. [vundo-/VirtuMonde-erkältung] status: vundofix, combofix
    Log-Analyse und Auswertung - 17.02.2008 (1)
  13. Hilfe, IE 7 Startet nicht mehr unter Vista
    Log-Analyse und Auswertung - 10.07.2007 (3)
  14. Benutzerkonto unter WIN2000
    Alles rund um Windows - 14.12.2005 (1)
  15. wie löst man das desktopproblem unter win2000?
    Log-Analyse und Auswertung - 29.03.2005 (2)
  16. Fehlermeldung von ZoneAlarm unter Win2000
    Antiviren-, Firewall- und andere Schutzprogramme - 11.04.2003 (4)
  17. Nachrichtendienst unter Win2000 deaktivieren
    Alles rund um Windows - 02.02.2003 (2)

Zum Thema combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A - Hallo Leute, ich möchte den Virus TR/Vundo.FUL.9.A entfernen und Habe hier im Forum eine Anleitung gefunden. Dabei soll das Programm combofix benuzt werden. Combofix startet aber nicht und meldet: Inkompatibles - combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A...
Archiv
Du betrachtest: combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.