Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Viren/Trojanermeldung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.12.2008, 01:03   #1
5th-Element
 
Viren/Trojanermeldung - Standard

Viren/Trojanermeldung



Hallo liebe Freaks

ich bekomme seit paar Tagen manchmal durch AntiVir so gleichzeitig 4 Meldungen über Viren/Trojaner. Spybot findet auch welche und wenn ich diese lösche sind sie zwar weg aber bei neuen Scannen wieder da. Autostart ist auch immer eine komische datei die immer anders heißt (egaskjfd) in system32 (rundl32.dll) und die auch im Taskmanager paar Plätze einnimmt.

Hier der Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:02:08, on 03.12.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5D7191D4-5AD2-4F6C-B9FF-0FCC175D7869} - C:\Windows\system32\geBtRJba.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\qoMGVNGv.dll,#1
O4 - HKLM\..\Run: [46bc3e76] rundll32.exe "C:\Windows\system32\pgfxaovo.dll",b
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{A230800C-2570-4F57-B7C8-6745746E8909}: NameServer = 192.168.0.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 4653 bytes
         
Denn hier meine ich:
Code:
ATTFilter
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
         
Manchmal hängt auch der Windows Explorer und ich muss in per "Task beenden" beenden.
Hier die AntiVir Meldungen:


Und Hier SpyBot:



Hoffe ihr könnt mir helfen.

P.S Hab Vista

Geändert von 5th-Element (03.12.2008 um 01:30 Uhr)

Alt 03.12.2008, 08:03   #2
Chris4You
 
Viren/Trojanermeldung - Standard

Viren/Trojanermeldung



Hi,


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Windows\system32\geBtRJba.dll
C:\Windows\system32\qoMGVNGv.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also, wenn die Teile erkannt wurden (sonst die nicht erkannt raus nehmen!):
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|46bc3e76
 
Files to delete:
C:\Windows\system32\geBtRJba.dll
C:\Windows\system32\qoMGVNGv.dll
C:\Windows\system32\pgfxaovo.dll
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein, Spyboot muss vollständig ausgeschaltet sein (unbedingt aus sein muß der Teatimer!)!
Code:
ATTFilter
O2 - BHO: (no name) - {5D7191D4-5AD2-4F6C-B9FF-0FCC175D7869} - C:\Windows\system32\geBtRJba.dll
         
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Danach noch mal bitte ein HJ-Log!

Chris
__________________

__________________

Alt 03.12.2008, 13:18   #3
5th-Element
 
Viren/Trojanermeldung - Standard

Viren/Trojanermeldung



Einmal die C:\Windows\system32\geBtRJba.dll


Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.12.2.2	2008.12.03	-
AntiVir	7.9.0.36	2008.12.03	-
Authentium	5.1.0.4	2008.12.03	-
Avast	4.8.1281.0	2008.12.02	-
AVG	8.0.0.199	2008.12.03	Vundo.BI
BitDefender	7.2	2008.12.03	Trojan.Vundo.Gen.4
CAT-QuickHeal	10.00	2008.12.03	-
ClamAV	0.94.1	2008.12.03	-
DrWeb	4.44.0.09170	2008.12.03	Trojan.Fakealert.1500
eSafe	7.0.17.0	2008.12.02	-
eTrust-Vet	31.6.6241	2008.12.03	Win32/Darksma.LT
Ewido	4.0	2008.12.03	-
F-Prot	4.4.4.56	2008.12.03	-
F-Secure	8.0.14332.0	2008.12.03	Trojan.Win32.Monderd.gen
Fortinet	3.117.0.0	2008.12.03	-
GData	19	2008.12.03	Trojan.Vundo.Gen.4
Ikarus	T3.1.1.45.0	2008.12.03	-
K7AntiVirus	7.10.540	2008.12.02	-
Kaspersky	7.0.0.125	2008.12.03	Trojan.Win32.Monderd.gen
McAfee	5452	2008.12.02	-
McAfee+Artemis	5452	2008.12.02	-
Microsoft	1.4205	2008.12.03	Trojan:Win32/Vundo.gen!R
NOD32	3660	2008.12.03	a variant of Win32/Adware.Virtumonde.NDK
Norman	5.80.02	2008.12.02	-
Panda	9.0.0.4	2008.12.03	-
PCTools	4.4.2.0	2008.12.02	-
Prevx1	V2	2008.12.03	-
Rising	21.06.22.00	2008.12.03	-
SecureWeb-Gateway	6.7.6	2008.12.03	Riskware.LooksLike.Fraud.An
Sophos	4.36.0	2008.12.03	-
Sunbelt	3.1.1832.2	2008.12.01	-
Symantec	10	2008.12.03	Packed.Generic.202
TheHacker	6.3.1.2.172	2008.12.02	-
TrendMicro	8.700.0.1004	2008.12.03	-
VBA32	3.12.8.10	2008.12.02	-
ViRobot	2008.12.3.1498	2008.12.03	Trojan.Win32.Monder.245248.E
VirusBuster	4.5.11.0	2008.12.02	-

weitere Informationen
File size: 245248 bytes
MD5...: b7ca49bf472b7521944965854b253c29
SHA1..: ca03be35a74d04aa94e598d92a9f6cec8af5cada
SHA256: 982ae0e890c5e0bd7e4c0973687d0af31144c3b704ae30776eb1f492e9b5372e
SHA512: fbb54dfa23bc9ec830878e4465096763fa34ab355b224d364f76528586cc16e8
fd1ecdf6300b485b86f8679721b63e651d9a6cdcdec3171f34e47f38959e341d
ssdeep: 6144:N3H1/EVfaDOn/tRVLmfmCPOTpiLKeLkChodIt4:ufaDm/tRVELPONDeI
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000158d
timedatestamp.....: 0x12981193 (Tue Nov 20 14:24:19 1979)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x21000 0x20e00 8.00 e50b8b3aa4d786079041ab95dd73c79c
.data 0x22000 0x1000 0x200 3.67 6ba05bda997a52092a25bfc98dea0a74
.rdata 0x23000 0x81000 0x1a800 8.00 c312cbe6634deda4e6dab1ef67826105
.rsrc 0xa4000 0x1000 0x200 6.87 2cf602b34ad34a4a48a9b1eada10bd5b

( 3 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: ExitProcess, GetSystemTimeAsFileTime, CloseHandle, GetStartupInfoA, GetModuleHandleA
> ADVAPI32.dll: RegQueryValueA, RegCloseKey, RegOpenKeyExA

( 0 exports )
         
Und einem die C:\Windows\system32\qoMGVNGv.dll:

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.12.2.2	2008.12.03	-
AntiVir	7.9.0.36	2008.12.03	-
Authentium	5.1.0.4	2008.12.03	-
Avast	4.8.1281.0	2008.12.02	-
AVG	8.0.0.199	2008.12.03	Vundo.BI
BitDefender	7.2	2008.12.03	Trojan.Vundo.Gen.4
CAT-QuickHeal	10.00	2008.12.03	-
ClamAV	0.94.1	2008.12.03	-
DrWeb	4.44.0.09170	2008.12.03	Trojan.Virtumod.1466
eSafe	7.0.17.0	2008.12.02	Suspicious File
eTrust-Vet	31.6.6241	2008.12.03	-
Ewido	4.0	2008.12.03	-
F-Prot	4.4.4.56	2008.12.03	-
F-Secure	8.0.14332.0	2008.12.03	Trojan.Win32.Monderd.gen
Fortinet	3.117.0.0	2008.12.03	-
GData	19	2008.12.03	Trojan.Vundo.Gen.4
Ikarus	T3.1.1.45.0	2008.12.03	-
K7AntiVirus	7.10.540	2008.12.02	-
Kaspersky	7.0.0.125	2008.12.03	Trojan.Win32.Monderd.gen
McAfee	5452	2008.12.02	-
McAfee+Artemis	5452	2008.12.02	-
Microsoft	1.4205	2008.12.03	Trojan:Win32/Vundo.gen!R
NOD32	3660	2008.12.03	a variant of Win32/Adware.Virtumonde.NDI
Norman	5.80.02	2008.12.02	W32/Virtumonde.AERL
Panda	9.0.0.4	2008.12.03	-
PCTools	4.4.2.0	2008.12.02	-
Prevx1	V2	2008.12.03	-
Rising	21.06.22.00	2008.12.03	-
SecureWeb-Gateway	6.7.6	2008.12.03	-
Sophos	4.36.0	2008.12.03	-
Sunbelt	3.1.1832.2	2008.12.01	-
Symantec	10	2008.12.03	Packed.Generic.202
TheHacker	6.3.1.2.172	2008.12.02	-
TrendMicro	8.700.0.1004	2008.12.03	PAK_Generic.001
VBA32	3.12.8.10	2008.12.02	-
ViRobot	2008.12.3.1498	2008.12.03	Trojan.Win32.Monder.38912.F
VirusBuster	4.5.11.0	2008.12.02	-

weitere Informationen
File size: 38912 bytes
MD5...: 25aa7d0ae99b6c02cc5b0420b0c6731d
SHA1..: 840b86a6efa12ab7896c6a9674190afcab1877c5
SHA256: 7bbd421b13df27bf1eb5d549dcaaa0269ca5a57b5e51f880040a78ae5799d8ab
SHA512: 39677b40b3a8de36ac2a971def27f1fdb3c8500da77cf3aa78cbb5847236fc56
f1bdc055db9a27781b25ecc5a415bdd101ec9d44f38ea195f551d3cf2298cfdb
ssdeep: 768:OO0CeeUu7gnj5XqFvAKE/CvwdT242gnFnm/BTnUCQ6mX0zJq0chYchUXnw0/
9ySs:300s8F1zWNm/Jq6mklPchY1nVyiJmwO
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001480
timedatestamp.....: 0x329d031 (Tue Sep 07 06:12:01 1971)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7000 0x6200 7.95 246dfa24b23bae718f6d2179e527dd73
.data 0x8000 0x1000 0x200 3.41 871ff2ce4b27b1403b68f35bd21f2446
.rdata 0x9000 0xf000 0x2e00 7.95 407c416411edd1e513cf54cf0b16d7ac
.rsrc 0x18000 0x1000 0x200 1.50 9b0b1293428d8a9c635f636d4ec71f26

( 3 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: ExitProcess, GetSystemTimeAsFileTime, CloseHandle, GetStartupInfoA, GetModuleHandleA
> ADVAPI32.dll: RegQueryValueA, RegCloseKey, RegOpenKeyExA

( 0 exports )
         
Hier das LogFile vom Avenger:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Windows\system32\geBtRJba.dll" deleted successfully.

Error:  file "C:\Windows\system32\qoMGVNGv.dll" not found!
Deletion of file "C:\Windows\system32\qoMGVNGv.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\Windows\system32\pgfxaovo.dll" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|46bc3e76" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
__________________

Alt 03.12.2008, 13:33   #4
Chris4You
 
Viren/Trojanermeldung - Standard

Viren/Trojanermeldung



Hi,

Okay, dann lass mal MAM wie beschrieben von der Leine...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 03.12.2008, 21:21   #5
5th-Element
 
Viren/Trojanermeldung - Standard

Viren/Trojanermeldung



So hier der Malewarelog: (hat 2Std gedauert :-)

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1454
Windows 6.0.6001 Service Pack 1

03.12.2008 21:15:40
mbam-log-2008-12-03 (21-15-32).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 116514
Laufzeit: 1 hour(s), 52 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\khfcywUl.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\brnoxcex.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\dnrbnklx.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\edlxmmqe.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\ikdicfit.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\ikxmlqcl.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\kobuaqqx.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\mkoxsjyy.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\mLefDWop.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\opnKdBQK.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\oqdbqmtj.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\qoMGvUNf.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\qqdbdqrb.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\qyxpquji.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\tbfnkcxj.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\unkstqvf.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\utbaoiua.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\ynybsgax.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\mcrh.tmp (Malware.Trace) -> No action taken.
         
Und hier nach dem löschen:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1454
Windows 6.0.6001 Service Pack 1

03.12.2008 21:17:12
mbam-log-2008-12-03 (21-17-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 116514
Laufzeit: 1 hour(s), 52 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\khfcywUl.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\brnoxcex.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\dnrbnklx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\edlxmmqe.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\ikdicfit.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\ikxmlqcl.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\kobuaqqx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\mkoxsjyy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\mLefDWop.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\opnKdBQK.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\oqdbqmtj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\qoMGvUNf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\qqdbdqrb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\qyxpquji.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\tbfnkcxj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\unkstqvf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\utbaoiua.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\ynybsgax.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
         
Und hier der HJ Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:18:36, on 03.12.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{A230800C-2570-4F57-B7C8-6745746E8909}: NameServer = 192.168.0.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 4479 bytes
         
Ich habs net verstanden bei Virtustotal
Zitat:
Also, wenn die Teile erkannt wurden (sonst die nicht erkannt raus nehmen!):
Wie rausnehmennehmen?

Und noch ganz wichtig:
Wie schütze ich mich am besten? Ich hab das Sicherheitscenter von Vista aus also keine Firewall oder Defender. Ich hab nur AntiVir und die RouterFirewall von meinem D-Link 524. Kann es sein das ich deswegen trojaner hatte? Was empfehlt ihr mit?


EDIT:
Hmm also nach neustart gemacht und in autostart war nix drin ist schonmal gut. HJ zeigt diesen eintrag auch net mehr an. ich muss später mal scannen mit spybot um zu schauen ob er was findet.

P.S. Falls sich einer mit TuneUp Utilities 2009 auskennt klickt HIER


Geändert von 5th-Element (03.12.2008 um 21:50 Uhr)

Alt 04.12.2008, 02:03   #6
5th-Element
 
Viren/Trojanermeldung - Standard

Viren/Trojanermeldung



Also ich hab jetzt nochmal mit SpyBot gescannt und des kommt des selbe wieder. Hier mal eine Detailierte Ansicht von den SpyBot Scan:

Alt 04.12.2008, 07:45   #7
Chris4You
 
Viren/Trojanermeldung - Standard

Viren/Trojanermeldung



Hi,

Du musst unbedingt Spyboot und den Teatimer ausschalten beim Fixen/Scannen,
der Blockt die Änderungen... Dazu dann auch den Rechner vom INet trennen (der Sicherheit wegen)!

Lass noch mal MAM laufen (vorher updaten);

Vorher noch folgendes Script abfahren:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
 
Files to delete:
c:\windows\system32\abjrtbeg.ini2
c:\windows\system32\iklnmnmp.ini2
c:\windows\system32\iklnmnmp.ini
c:\windows\system32\wvuwlquj.ini
c:\windows\system32\edesysrm.ini
c:\windows\system32\emccvvoq.ini
c:\windows\system32\ffmnywmp.ini
c:\windows\system32\wppewoyc.ini
c:\windows\system32\mrsysede.dll
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

RSIT für "tiefere" Infos
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Prevx (Nur scanner):
http://www.prevx.com/freescan.asp

Poste die Logs bzw. die Funde von Prevx;

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 04.12.2008, 14:49   #8
5th-Element
 
Viren/Trojanermeldung - Standard

Viren/Trojanermeldung



So,

zur Info: SpyBot ist aus und den TeaTimer usw. ist nicht drauf habs net dazuinstalliert.

Hier das Avanger LogFile:
Code:
ATTFilter
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.0 (build 6001, Service Pack 1)
Thu Dec 04 14:15:30 2008

14:15:30: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\windows\system32\abjrtbeg.ini2" not found!
Deletion of file "c:\windows\system32\abjrtbeg.ini2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "c:\windows\system32\iklnmnmp.ini2" deleted successfully.
File "c:\windows\system32\iklnmnmp.ini" deleted successfully.

Error:  file "c:\windows\system32\wvuwlquj.ini" not found!
Deletion of file "c:\windows\system32\wvuwlquj.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\edesysrm.ini" not found!
Deletion of file "c:\windows\system32\edesysrm.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\emccvvoq.ini" not found!
Deletion of file "c:\windows\system32\emccvvoq.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\ffmnywmp.ini" not found!
Deletion of file "c:\windows\system32\ffmnywmp.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\wppewoyc.ini" not found!
Deletion of file "c:\windows\system32\wppewoyc.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\mrsysede.dll" not found!
Deletion of file "c:\windows\system32\mrsysede.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         
Hier das RSIT LogFile:
Code:
ATTFilter
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.0 (build 6001, Service Pack 1)
Thu Dec 04 14:15:30 2008

14:15:30: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\windows\system32\abjrtbeg.ini2" not found!
Deletion of file "c:\windows\system32\abjrtbeg.ini2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "c:\windows\system32\iklnmnmp.ini2" deleted successfully.
File "c:\windows\system32\iklnmnmp.ini" deleted successfully.

Error:  file "c:\windows\system32\wvuwlquj.ini" not found!
Deletion of file "c:\windows\system32\wvuwlquj.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\edesysrm.ini" not found!
Deletion of file "c:\windows\system32\edesysrm.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\emccvvoq.ini" not found!
Deletion of file "c:\windows\system32\emccvvoq.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\ffmnywmp.ini" not found!
Deletion of file "c:\windows\system32\ffmnywmp.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\wppewoyc.ini" not found!
Deletion of file "c:\windows\system32\wppewoyc.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\mrsysede.dll" not found!
Deletion of file "c:\windows\system32\mrsysede.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         
Und hier das RSIT InfoFile:
Code:
ATTFilter
info.txt logfile of random's system information tool 1.04 2008-12-04 14:30:51

======Uninstall list======

-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Program Files\Conexant\SmartAudio\SETUP.EXE -U -ISmartAudio -SM=SMAUDIO.EXE,1801
32 Bit HP CIO Components Installer-->MsiExec.exe /I{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}
7-Zip 4.57-->"C:\Program Files\7-Zip\Uninstall.exe"
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop 7.0-->C:\WINDOWS\ISUN0407.EXE -f"C:\Program Files\Adobe\Photoshop 7.0\Uninst.isu" -c"C:\Program Files\Adobe\Photoshop 7.0\Uninst.dll"
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
AnyDVD-->"C:\Program Files\SlySoft\AnyDVD\AnyDVD-uninst.exe" /D="C:\Program Files\SlySoft\AnyDVD"
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Atheros Driver Installation Program-->C:\Program Files\InstallShield Installation Information\{C3A32068-8AB1-4327-BB16-BED9C6219DC7}\setup.exe -runfromtemp -l0x0007
Audacity 1.2.6-->"C:\Program Files\Audacity\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Cisco EAP-FAST Module-->MsiExec.exe /I{415B2719-AD3A-4944-B404-C472DB6085B3}
Cisco LEAP Module-->MsiExec.exe /I{83770D14-21B9-44B3-8689-F7B523F94560}
Cisco PEAP Module-->MsiExec.exe /I{669C7BD8-DAA2-49B6-966C-F1E2AAE6B17E}
Conexant HD Audio-->C:\Program Files\CONEXANT\CNXT_AUDIO_HDA\UIU32a.exe -U -IWAHerza.INF
CyberLink YouCam-->"C:\Program Files\InstallShield Installation Information\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\setup.exe" /z-uninstall
CyberLink YouCam-->"C:\Program Files\InstallShield Installation Information\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\setup.exe" /z-uninstall
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
doPDF 6.1  printer-->"C:\Program Files\Softland\doPDF 6\unins000.exe"
EVEREST Corporate Edition v4.50-->"C:\Program Files\Lavalys\EVEREST Corporate Edition\unins000.exe"
FileZilla Client 3.1.5.1-->C:\Program Files\FileZilla FTP Client\uninstall.exe
getPlus(R) for Adobe-->"C:\Program Files\NOS\bin\getPlus_HelperSvc.exe" /UninstallGet1
Grabster AV 400-->MsiExec.exe /I{1E61538A-D482-4252-BBB7-D892FD52FC50}
Hamachi 1.0.3.0-->C:\Program Files\Hamachi\uninstall.exe
HijackThis 2.0.2-->"C:\Program Files\HijackThis\HijackThis.exe" /uninstall
HP Imaging Device Functions 8.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP Photosmart, Officejet, PSC and Deskjet All-In-One Driver Software 8.0.B-->C:\Program Files\HP\Digital Imaging\{C916D86C-AB76-49c7-B0E4-A946E0FD9BC2}\setup\hpzscr01.exe -datfile hposcr19.dat -onestop -showdisconnect -forcereboot
HP Quick Launch Buttons 6.40 H2-->C:\Program Files\InstallShield Installation Information\{34D2AB40-150D-475D-AE32-BD23FB5EE355}\Setup.exe -runfromtemp -l0x0007 -removeonly uninst
HP Solution Center 8.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
Java(TM) 6 Update 10-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
K-Lite Mega Codec Pack 4.3.4-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
LADSPA_plugins-win-0.4.15-->"C:\Program Files\Audacity\Plug-Ins\unins000.exe"
LimeWire PRO 4.18.8-->"C:\Program Files\LimeWire\uninstall.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Virtual PC 2007 SP1-->MsiExec.exe /X{AD483998-2E9A-4405-83FF-6E503AF49CBB}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (3.0.4)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 8 Micro 8.3.6.0-->"C:\Program Files\Nero\unins000.exe"
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
Phase 5 HTML-Editor-->MsiExec.exe /I{20B1B020-DEAE-48D1-9960-D4C3185D758B}
QuickTime-->MsiExec.exe /I{8DC42D05-680B-41B0-8878-6C14D24602DB}
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek USB 2.0 Card Reader-->C:\Program Files\InstallShield Installation Information\{DC24971E-1946-445D-8A82-CE685433FA7D}\setup.exe -runfromtemp -l0x0009 -removeonly
Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
SUPER © Version 2008.bld.33 (Sep 2, 2008)-->C:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
TuneUp Utilities 2009-->MsiExec.exe /I{55A29068-F2CE-456C-9148-C869879E2357}
UltraVNC 1.0.5-->"C:\Program Files\UltraVNC\unins000.exe"
VLC media player 0.9.6-->C:\Program Files\VideoLAN\VLC\uninstall.exe
VST Bridge 1.1-->"C:\Program Files\Audacity\Plug-ins\VST Bridge\unins000.exe"
Vuze-->C:\Program Files\Vuze\uninstall.exe
Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
XAMPP 1.6.8-->"C:\Program Files\XAMPP\uninstall.exe"
xp-AntiSpy 3.97-->C:\Program Files\xp-AntiSpy\Uninstall.exe
Yahoo! Messenger-->C:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U C:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG

=====HijackThis Backups=====

O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\fccdeDuv.dll,#1
O4 - HKLM\..\Run: [46bc3e76] rundll32.exe "C:\Windows\system32\aoemxjbo.dll",b
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\fccdeDuv.dll,#1
O2 - BHO: (no name) - {F5116539-14E9-44F0-A0E5-103413D29CFC} - C:\Windows\system32\geBtRJba.dll (file missing)

======Security center information======

AS: Windows Defender

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=17
"PROCESSOR_IDENTIFIER"=x86 Family 17 Model 3 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0301
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------
         
Und hier die Fünde von Prevx:

Alt 04.12.2008, 15:20   #9
Chris4You
 
Viren/Trojanermeldung - Standard

Viren/Trojanermeldung



Hi,

fast richtig!

Statt dem zweiten HJ-Log wäre der Anfang des RSIT-Logs besser ;o)...
So fehlen mir sämtliche Startpunkte, neue Programme, Treiber etc...
Die installierte SW ist nicht soooo interessant für mich...
Aber wir kommen der Sache näher, ein Rootkit treibt sein Unwesen (kein Wunder landen immer neue Sachen auf dem Rechner, die in den alten Logs nicht auftauchen)...

b]
Dateien Online überprüfen lassen:
[/b]
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
c:\windows\system32\vtukjgga.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!


Wir nehmen jetzt die Meldungen von Prevx für bare Münze...
Lade Dir Avira runter und gehe dann Offline...

Avenger:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Files to delete:
c:\windows\system32\rxndciki.dll
c:\windows\system32\juqlwuvw.dll
c:\windows\system32\pmnmnlkl.dll
c:\windows\system32\vtukjgga.dll
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip
Lass alles was gefunden wird beseitigen.

Dann immer noch Offline, mit Prevx scannen, Funde per Avenger löschen...

Erst wenn alles sauber schein, ein neues RSIT-Lgo (Vollständig!) und dann kurz online gehen und poste (damit wird vermieden, dass sich was aus dem Internet "nachlädt")...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 04.12.2008, 18:32   #10
5th-Element
 
Viren/Trojanermeldung - Standard

Viren/Trojanermeldung



Die Datei c:\windows\system32\vtukjgga.dll finde ich net mehr also die gibts net mehr meine ich.

DIe Log Datei von Avenger hat nur gezeigt das er die eigetragenen dateien (also im script) nicht gefunden hat also was not found usw.

Avira-Antirootkit hat nix gefunden...

Prevx hat nix gefunden also konnt eich auch nix löschen mit avenger :-)

HIer das RSIT LogFile:
http://www.file-upload.net/download-...0/log.txt.html



Ist jetzt ales sauber? Der scheis ist das die dateien die immer in antivira kommen immer anders heißen aber z.b wenn ich scanne z.b. mit dieses malwareprogramm dann kommt wärend er scannt die antivir meldungen und dann markiere ich löschen also immer gleich wenn er sie findet. Dieses MalwareProgramm hat 22 Funde gehabt die ich auch gelöscht habe. Man son dreck echt...
Hab auch mal den system32 ordner mit avira antivir gescannt aber der findet nix, muss mal später wieder spybot laufen lassen

Nochmal meine Frage:
Kann es daran liegen das ich zu weinig schutz habe? WIe gesagt ich hab nur avira antivir drauf und die firewall meines rounters dlink 524. Die Vista Firewall so wie den defender usw. ist alles aus. Also das Komplette sicherheitscenter. Ist das zu wenig? Wenn ja was empfiehlt ihr?

Geändert von 5th-Element (04.12.2008 um 19:21 Uhr)

Alt 05.12.2008, 00:35   #11
5th-Element
 
Viren/Trojanermeldung - Standard

Viren/Trojanermeldung



Sorry für Doppelpost aber ich kann den letzten Beitrag nicht editieren.

Also SpyBot findet nix mehr des ist schon mal sehr gut. Ich nehme an der RootKit hat aufgegeben :-) ?:aplaus:

Antwort

Themen zu Viren/Trojanermeldung
.dll, adobe, antivir, antivirus, avg, avira, bho, excel, explorer, firefox, hijack, hijackthis, hängt, internet, internet explorer, launch, logfile, mozilla, nvidia, plug-in, rundll, scan, software, system, taskmanager, tuneup.defrag, tuprogst.exe, viren/trojaner., vista, windows, windows sidebar



Ähnliche Themen: Viren/Trojanermeldung


  1. Trojanermeldung von G-Data
    Plagegeister aller Art und deren Bekämpfung - 03.05.2014 (10)
  2. Trojanermeldung durch Malwarebytes
    Plagegeister aller Art und deren Bekämpfung - 12.04.2013 (45)
  3. Bei Webseitenaufruf Trojanermeldung - Was tun?
    Alles rund um Windows - 11.11.2012 (2)
  4. Trojanermeldung auf Website
    Plagegeister aller Art und deren Bekämpfung - 07.12.2010 (0)
  5. Trojanermeldung: Backdoor.Generic13.AEO
    Log-Analyse und Auswertung - 05.09.2010 (2)
  6. Trojanermeldung TR\barmital.bb
    Plagegeister aller Art und deren Bekämpfung - 20.08.2010 (3)
  7. Trojanermeldung in .exe
    Log-Analyse und Auswertung - 19.06.2010 (4)
  8. Antivir Trojanermeldung
    Plagegeister aller Art und deren Bekämpfung - 26.01.2010 (16)
  9. winlogon.exe trojanermeldung
    Plagegeister aller Art und deren Bekämpfung - 04.02.2009 (0)
  10. shchost.exe gefunden - Trojanermeldung
    Log-Analyse und Auswertung - 24.11.2008 (6)
  11. PC nach Viren-/Trojanermeldung sehr lahm!
    Log-Analyse und Auswertung - 17.03.2008 (4)
  12. Trojanermeldung-was nun???
    Plagegeister aller Art und deren Bekämpfung - 15.10.2007 (3)
  13. Trojanermeldung ismini.exe und winpdc32.dll
    Log-Analyse und Auswertung - 16.03.2007 (5)
  14. Trojanermeldung
    Plagegeister aller Art und deren Bekämpfung - 19.02.2006 (27)
  15. Verbindungsabbrüche und Trojanermeldung ?
    Log-Analyse und Auswertung - 23.11.2005 (3)
  16. AntiVir Trojanermeldung die keiner kennt ?
    Plagegeister aller Art und deren Bekämpfung - 09.06.2005 (10)
  17. Trojanermeldung
    Plagegeister aller Art und deren Bekämpfung - 17.07.2003 (5)

Zum Thema Viren/Trojanermeldung - Hallo liebe Freaks ich bekomme seit paar Tagen manchmal durch AntiVir so gleichzeitig 4 Meldungen über Viren/Trojaner. Spybot findet auch welche und wenn ich diese lösche sind sie zwar weg - Viren/Trojanermeldung...
Archiv
Du betrachtest: Viren/Trojanermeldung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.