Viren/Trojanermeldung

5th-Element · 03.12.2008, 01:03

Hallo liebe Freaks

ich bekomme seit paar Tagen manchmal durch AntiVir so gleichzeitig 4 Meldungen über Viren/Trojaner. Spybot findet auch welche und wenn ich diese lösche sind sie zwar weg aber bei neuen Scannen wieder da. Autostart ist auch immer eine komische datei die immer anders heißt (egaskjfd) in system32 (rundl32.dll) und die auch im Taskmanager paar Plätze einnimmt.

Hier der Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:02:08, on 03.12.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5D7191D4-5AD2-4F6C-B9FF-0FCC175D7869} - C:\Windows\system32\geBtRJba.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\qoMGVNGv.dll,#1
O4 - HKLM\..\Run: [46bc3e76] rundll32.exe "C:\Windows\system32\pgfxaovo.dll",b
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{A230800C-2570-4F57-B7C8-6745746E8909}: NameServer = 192.168.0.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 4653 bytes

Denn hier meine ich:

Code:

ATTFilter

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

Manchmal hängt auch der Windows Explorer und ich muss in per "Task beenden" beenden.
Hier die AntiVir Meldungen:

Und Hier SpyBot:

Hoffe ihr könnt mir helfen.

P.S Hab Vista

Chris4You · 03.12.2008, 08:03

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\Windows\system32\geBtRJba.dll
C:\Windows\system32\qoMGVNGv.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also, wenn die Teile erkannt wurden (sonst die nicht erkannt raus nehmen!):
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|46bc3e76
 
Files to delete:
C:\Windows\system32\geBtRJba.dll
C:\Windows\system32\qoMGVNGv.dll
C:\Windows\system32\pgfxaovo.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein, Spyboot muss vollständig ausgeschaltet sein (unbedingt aus sein muß der Teatimer!)!

Code:

ATTFilter

O2 - BHO: (no name) - {5D7191D4-5AD2-4F6C-B9FF-0FCC175D7869} - C:\Windows\system32\geBtRJba.dll

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Danach noch mal bitte ein HJ-Log!

Chris

5th-Element · 03.12.2008, 13:18

Einmal die C:\Windows\system32\geBtRJba.dll

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.12.2.2	2008.12.03	-
AntiVir	7.9.0.36	2008.12.03	-
Authentium	5.1.0.4	2008.12.03	-
Avast	4.8.1281.0	2008.12.02	-
AVG	8.0.0.199	2008.12.03	Vundo.BI
BitDefender	7.2	2008.12.03	Trojan.Vundo.Gen.4
CAT-QuickHeal	10.00	2008.12.03	-
ClamAV	0.94.1	2008.12.03	-
DrWeb	4.44.0.09170	2008.12.03	Trojan.Fakealert.1500
eSafe	7.0.17.0	2008.12.02	-
eTrust-Vet	31.6.6241	2008.12.03	Win32/Darksma.LT
Ewido	4.0	2008.12.03	-
F-Prot	4.4.4.56	2008.12.03	-
F-Secure	8.0.14332.0	2008.12.03	Trojan.Win32.Monderd.gen
Fortinet	3.117.0.0	2008.12.03	-
GData	19	2008.12.03	Trojan.Vundo.Gen.4
Ikarus	T3.1.1.45.0	2008.12.03	-
K7AntiVirus	7.10.540	2008.12.02	-
Kaspersky	7.0.0.125	2008.12.03	Trojan.Win32.Monderd.gen
McAfee	5452	2008.12.02	-
McAfee+Artemis	5452	2008.12.02	-
Microsoft	1.4205	2008.12.03	Trojan:Win32/Vundo.gen!R
NOD32	3660	2008.12.03	a variant of Win32/Adware.Virtumonde.NDK
Norman	5.80.02	2008.12.02	-
Panda	9.0.0.4	2008.12.03	-
PCTools	4.4.2.0	2008.12.02	-
Prevx1	V2	2008.12.03	-
Rising	21.06.22.00	2008.12.03	-
SecureWeb-Gateway	6.7.6	2008.12.03	Riskware.LooksLike.Fraud.An
Sophos	4.36.0	2008.12.03	-
Sunbelt	3.1.1832.2	2008.12.01	-
Symantec	10	2008.12.03	Packed.Generic.202
TheHacker	6.3.1.2.172	2008.12.02	-
TrendMicro	8.700.0.1004	2008.12.03	-
VBA32	3.12.8.10	2008.12.02	-
ViRobot	2008.12.3.1498	2008.12.03	Trojan.Win32.Monder.245248.E
VirusBuster	4.5.11.0	2008.12.02	-

weitere Informationen
File size: 245248 bytes
MD5...: b7ca49bf472b7521944965854b253c29
SHA1..: ca03be35a74d04aa94e598d92a9f6cec8af5cada
SHA256: 982ae0e890c5e0bd7e4c0973687d0af31144c3b704ae30776eb1f492e9b5372e
SHA512: fbb54dfa23bc9ec830878e4465096763fa34ab355b224d364f76528586cc16e8
fd1ecdf6300b485b86f8679721b63e651d9a6cdcdec3171f34e47f38959e341d
ssdeep: 6144:N3H1/EVfaDOn/tRVLmfmCPOTpiLKeLkChodIt4:ufaDm/tRVELPONDeI
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000158d
timedatestamp.....: 0x12981193 (Tue Nov 20 14:24:19 1979)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x21000 0x20e00 8.00 e50b8b3aa4d786079041ab95dd73c79c
.data 0x22000 0x1000 0x200 3.67 6ba05bda997a52092a25bfc98dea0a74
.rdata 0x23000 0x81000 0x1a800 8.00 c312cbe6634deda4e6dab1ef67826105
.rsrc 0xa4000 0x1000 0x200 6.87 2cf602b34ad34a4a48a9b1eada10bd5b

( 3 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: ExitProcess, GetSystemTimeAsFileTime, CloseHandle, GetStartupInfoA, GetModuleHandleA
> ADVAPI32.dll: RegQueryValueA, RegCloseKey, RegOpenKeyExA

( 0 exports )

Und einem die C:\Windows\system32\qoMGVNGv.dll:

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.12.2.2	2008.12.03	-
AntiVir	7.9.0.36	2008.12.03	-
Authentium	5.1.0.4	2008.12.03	-
Avast	4.8.1281.0	2008.12.02	-
AVG	8.0.0.199	2008.12.03	Vundo.BI
BitDefender	7.2	2008.12.03	Trojan.Vundo.Gen.4
CAT-QuickHeal	10.00	2008.12.03	-
ClamAV	0.94.1	2008.12.03	-
DrWeb	4.44.0.09170	2008.12.03	Trojan.Virtumod.1466
eSafe	7.0.17.0	2008.12.02	Suspicious File
eTrust-Vet	31.6.6241	2008.12.03	-
Ewido	4.0	2008.12.03	-
F-Prot	4.4.4.56	2008.12.03	-
F-Secure	8.0.14332.0	2008.12.03	Trojan.Win32.Monderd.gen
Fortinet	3.117.0.0	2008.12.03	-
GData	19	2008.12.03	Trojan.Vundo.Gen.4
Ikarus	T3.1.1.45.0	2008.12.03	-
K7AntiVirus	7.10.540	2008.12.02	-
Kaspersky	7.0.0.125	2008.12.03	Trojan.Win32.Monderd.gen
McAfee	5452	2008.12.02	-
McAfee+Artemis	5452	2008.12.02	-
Microsoft	1.4205	2008.12.03	Trojan:Win32/Vundo.gen!R
NOD32	3660	2008.12.03	a variant of Win32/Adware.Virtumonde.NDI
Norman	5.80.02	2008.12.02	W32/Virtumonde.AERL
Panda	9.0.0.4	2008.12.03	-
PCTools	4.4.2.0	2008.12.02	-
Prevx1	V2	2008.12.03	-
Rising	21.06.22.00	2008.12.03	-
SecureWeb-Gateway	6.7.6	2008.12.03	-
Sophos	4.36.0	2008.12.03	-
Sunbelt	3.1.1832.2	2008.12.01	-
Symantec	10	2008.12.03	Packed.Generic.202
TheHacker	6.3.1.2.172	2008.12.02	-
TrendMicro	8.700.0.1004	2008.12.03	PAK_Generic.001
VBA32	3.12.8.10	2008.12.02	-
ViRobot	2008.12.3.1498	2008.12.03	Trojan.Win32.Monder.38912.F
VirusBuster	4.5.11.0	2008.12.02	-

weitere Informationen
File size: 38912 bytes
MD5...: 25aa7d0ae99b6c02cc5b0420b0c6731d
SHA1..: 840b86a6efa12ab7896c6a9674190afcab1877c5
SHA256: 7bbd421b13df27bf1eb5d549dcaaa0269ca5a57b5e51f880040a78ae5799d8ab
SHA512: 39677b40b3a8de36ac2a971def27f1fdb3c8500da77cf3aa78cbb5847236fc56
f1bdc055db9a27781b25ecc5a415bdd101ec9d44f38ea195f551d3cf2298cfdb
ssdeep: 768:OO0CeeUu7gnj5XqFvAKE/CvwdT242gnFnm/BTnUCQ6mX0zJq0chYchUXnw0/
9ySs:300s8F1zWNm/Jq6mklPchY1nVyiJmwO
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001480
timedatestamp.....: 0x329d031 (Tue Sep 07 06:12:01 1971)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7000 0x6200 7.95 246dfa24b23bae718f6d2179e527dd73
.data 0x8000 0x1000 0x200 3.41 871ff2ce4b27b1403b68f35bd21f2446
.rdata 0x9000 0xf000 0x2e00 7.95 407c416411edd1e513cf54cf0b16d7ac
.rsrc 0x18000 0x1000 0x200 1.50 9b0b1293428d8a9c635f636d4ec71f26

( 3 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: ExitProcess, GetSystemTimeAsFileTime, CloseHandle, GetStartupInfoA, GetModuleHandleA
> ADVAPI32.dll: RegQueryValueA, RegCloseKey, RegOpenKeyExA

( 0 exports )

Hier das LogFile vom Avenger:

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Windows\system32\geBtRJba.dll" deleted successfully.

Error:  file "C:\Windows\system32\qoMGVNGv.dll" not found!
Deletion of file "C:\Windows\system32\qoMGVNGv.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\Windows\system32\pgfxaovo.dll" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|46bc3e76" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Chris4You · 03.12.2008, 13:33

Hi,

Okay, dann lass mal MAM wie beschrieben von der Leine...

chris

5th-Element · 03.12.2008, 21:21

So hier der Malewarelog: (hat 2Std gedauert :-)

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1454
Windows 6.0.6001 Service Pack 1

03.12.2008 21:15:40
mbam-log-2008-12-03 (21-15-32).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 116514
Laufzeit: 1 hour(s), 52 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\khfcywUl.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\brnoxcex.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\dnrbnklx.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\edlxmmqe.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\ikdicfit.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\ikxmlqcl.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\kobuaqqx.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\mkoxsjyy.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\mLefDWop.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\opnKdBQK.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\oqdbqmtj.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\qoMGvUNf.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\qqdbdqrb.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\qyxpquji.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\tbfnkcxj.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\unkstqvf.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\utbaoiua.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\ynybsgax.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\mcrh.tmp (Malware.Trace) -> No action taken.

Und hier nach dem löschen:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1454
Windows 6.0.6001 Service Pack 1

03.12.2008 21:17:12
mbam-log-2008-12-03 (21-17-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 116514
Laufzeit: 1 hour(s), 52 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\khfcywUl.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\brnoxcex.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\dnrbnklx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\edlxmmqe.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\ikdicfit.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\ikxmlqcl.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\kobuaqqx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\mkoxsjyy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\mLefDWop.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\opnKdBQK.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\oqdbqmtj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\qoMGvUNf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\qqdbdqrb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\qyxpquji.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\tbfnkcxj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\unkstqvf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\utbaoiua.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\ynybsgax.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.

Und hier der HJ Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:18:36, on 03.12.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{A230800C-2570-4F57-B7C8-6745746E8909}: NameServer = 192.168.0.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 4479 bytes

Ich habs net verstanden bei Virtustotal

Zitat:

Also, wenn die Teile erkannt wurden (sonst die nicht erkannt raus nehmen!):

Wie rausnehmennehmen?

Und noch ganz wichtig:
Wie schütze ich mich am besten? Ich hab das Sicherheitscenter von Vista aus also keine Firewall oder Defender. Ich hab nur AntiVir und die RouterFirewall von meinem D-Link 524. Kann es sein das ich deswegen trojaner hatte? Was empfehlt ihr mit?

EDIT:
Hmm also nach neustart gemacht und in autostart war nix drin ist schonmal gut. HJ zeigt diesen eintrag auch net mehr an. ich muss später mal scannen mit spybot um zu schauen ob er was findet.

P.S. Falls sich einer mit TuneUp Utilities 2009 auskennt klickt HIER

5th-Element · 04.12.2008, 02:03

Also ich hab jetzt nochmal mit SpyBot gescannt und des kommt des selbe wieder. Hier mal eine Detailierte Ansicht von den SpyBot Scan:

Viren/Trojanermeldung

Log-Analyse und Auswertung: Viren/Trojanermeldung