| |
| |||||||
Log-Analyse und Auswertung: Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
18.12.2008, 03:01
| #1 |
| |  Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Hallo, ich habe schon seit einer Weile diese beiden Trojaner, die mir regelmäßig von Avira angezeigt werden. Anfänglich noch einmal in der Stunde aber mittlerweile öffnet sich aller 3 Sekunden ein Avira-Fenster und meldet mir einen der beiden Viren. Entweder TR/Vundo.fxr.94 oder TR/Vundo.Gen.6.18 Deswegen hab ich jetzt AntiVir einfach deaktiviert, was ja auch nicht ganz Sinn und Zweck der Sache ist. Löschen funktioniert nicht und ein kompletter Systemscan hat auch nichts gebracht. Ich muss dazu sagen, dass ich leider IT-mäßig nicht sehr bewandert bin. Aber ich habe mich trotzdem mal an HJT versucht. Folgendes wurde ausgespuckt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:15:47, on 18.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\Programme\Winamp\winampa.exe C:\Programme\MSI\MSI.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\pctspk.exe C:\Programme\Spyware Cease\SpywareCease.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe C:\Programme\OpenOffice.org 2.3\program\soffice.exe C:\Programme\OpenOffice.org 2.3\program\soffice.BIN C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Opera\opera.exe C:\Programme\HJT\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.daemon-search.com/startpage O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [MSI] C:\Programme\MSI\MSI.exe -nogui O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [Generic Host] wauclt.exe O4 - HKLM\..\Run: [SpywareCease.exe] C:\Programme\Spyware Cease\SpywareCease.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: Belkin Wireless USB Utility.lnk = C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://***.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1030227973732 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} (GoPets Control) - h**ps://secure.gopetslive.com/dev/gopets.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: zovqwl.dll O23 - Service: MSI Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe -- End of file - 6075 bytes Ich hoffe ich habe jetzt alles richtig gemacht. Kann man da noch was machen oder ist schon alles verloren? Zum Schluss hab ich noch ein paar Fragen: Bleiben die Trojaner jetzt im system 32 oder können sie auch meine Daten (Bilder, Musik etc.) infizieren? Kann ich etwas tun, damit die Viren sich nicht weiter ausbreiten, solange ich nicht weiß, wie ich sie eliminieren kann? Muss ich etwas beachten, wenn ich im Internet surfe? Vielen Dank schonmal im Voraus. Liebe Grüße Diana |
|
18.12.2008, 19:10
| #2 | ||||
  | Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Hallo und
__________________ Zitat:
Zitat:
Zitat:
Zitat:
Lies und klicke auf die Links bei Für die Zukunft. Bitte folgende Dateien prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\wauclt.exe
C:\WINDOWS\system32\zovqwl.dll
C:\Programme\Spyware Cease\SpywareCease.exe
ciao, andreas |
|
18.12.2008, 21:35
| #3 |
| | Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Hallo und vielen Dank für die Antwort.
__________________Das hört sich ja nicht so schön an. Ehrlich gesagt habe ich jetzt nicht damit gerechnet, dass es so ernst ist. Trotzdem ich alle Anweisung befolgt habe, konnte ich die Datei C:\WINDOWS\system32\wauclt.exe nicht finden. Stattdessen habe ich jetzt die wuauclt.exe hochgeladen. Ich hoffe das war jetzt nicht komplett daneben. Ich weiß jetzt nicht genau, was die Prüfsummen sind, deswegen kopiere ich mal das komplette Ergebnis: Datei wuauclt.exe empfangen 2008.12.18 20:59:01 (CET) Status: Beendet Ergebnis: 1/38 (2.64%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.12.19.0 2008.12.18 - AntiVir 7.9.0.45 2008.12.18 - Authentium 5.1.0.4 2008.12.18 - Avast 4.8.1281.0 2008.12.18 - AVG 8.0.0.199 2008.12.18 - BitDefender 7.2 2008.12.18 - CAT-QuickHeal 10.00 2008.12.18 - ClamAV 0.94.1 2008.12.18 - Comodo 771 2008.12.17 - DrWeb 4.44.0.09170 2008.12.18 - eSafe 7.0.17.0 2008.12.18 - eTrust-Vet 31.6.6267 2008.12.18 - Ewido 4.0 2008.12.18 - F-Prot 4.4.4.56 2008.12.18 - F-Secure 8.0.14332.0 2008.12.18 Suspicious:W32/SCKeyLog!Gemini Fortinet 3.117.0.0 2008.12.18 - GData 19 2008.12.18 - Ikarus T3.1.1.45.0 2008.12.18 - K7AntiVirus 7.10.557 2008.12.18 - Kaspersky 7.0.0.125 2008.12.18 - McAfee 5468 2008.12.18 - McAfee+Artemis 5468 2008.12.18 - Microsoft 1.4205 2008.12.18 - NOD32 3703 2008.12.18 - Norman 5.80.02 2008.12.18 - Panda 9.0.0.4 2008.12.18 - PCTools 4.4.2.0 2008.12.18 - Prevx1 V2 2008.12.18 - Rising 21.08.32.00 2008.12.18 - SecureWeb-Gateway 6.7.6 2008.12.18 - Sophos 4.37.0 2008.12.18 - Sunbelt 3.2.1801.2 2008.12.11 - Symantec 10 2008.12.18 - TheHacker 6.3.1.4.191 2008.12.17 - TrendMicro 8.700.0.1004 2008.12.18 - VBA32 3.12.8.10 2008.12.18 - ViRobot 2008.12.18.1525 2008.12.18 - VirusBuster 4.5.11.0 2008.12.18 - weitere Informationen File size: 53448 bytes MD5...: d316e28958873859b88d72cf47ad1ea5 SHA1..: 36a54a85121770e68f836bf32a0bf422a0c4e172 SHA256: afef34f482f5fb1f5768bdc63bc1dd8e787df5391b2fa0fa1e97041ecb72cae4 SHA512: c18b5124342b9a304da504b98674b289a307576056245d8b7cdcd27a32b8772b 0f679baa13838bcd981e8817c27f1644d2f4c265cbba43344e3f8f083be94af4 ssdeep: 768:J53RKoUAg+c6uzJBXJDy0g1FX3vxBytpiOKEcmu1jKvC  LcDzfXSh/x0cdmu1kC PEiD..: - TrID..: File type identification Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4042dd timedatestamp.....: 0x48816313 (Sat Jul 19 03:44:19 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x8c84 0x8e00 6.00 9079e1cf62cf93298b09b9c3840b6239 .data 0xa000 0xd54 0x400 5.81 aea75c550ab527cbfba56bc33d16ea93 .rsrc 0xb000 0x7b8 0x800 4.55 8dc19cba0c732cf17cca6e6eddcdc010 .reloc 0xc000 0xc8a 0xe00 3.10 56fa4b399c6d09575836259c52cf6c40 ( 6 imports ) > KERNEL32.dll: CreateFileW, CreateDirectoryW, GetFileAttributesW, ExpandEnvironmentStringsW, lstrlenW, CreateProcessW, VerSetConditionMask, VerifyVersionInfoW, LoadLibraryW, OutputDebugStringW, WriteFile, FlushFileBuffers, GetModuleFileNameW, InterlockedIncrement, InterlockedDecrement, GetSystemTime, GetLastError, SetLastError, GetFileSize, CreateFileMappingW, MapViewOfFile, UnmapViewOfFile, SetFilePointer, SetEndOfFile, ReleaseMutex, WaitForSingleObject, CreateMutexW, CloseHandle, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, RtlUnwind, GetStartupInfoW, GetTimeZoneInformation, SystemTimeToTzSpecificLocalTime, GetSystemDirectoryW, LoadLibraryExW, GetDriveTypeW, GetVolumePathNameW, GetFileType, GetSystemInfo, GetModuleHandleW, CompareStringW, GetProcessHeap, HeapFree, HeapAlloc, GetCommandLineW, FreeLibrary, OpenEventW, GetProcAddress, WideCharToMultiByte, InterlockedExchange, Sleep, InterlockedCompareExchange > msvcrt.dll: __dllonexit, _unlock, _controlfp, _terminate@@YAXXZ, free, malloc, memmove, memcpy, memset, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _lock, _cexit, __wgetmainargs, _vsnwprintf, _onexit, _exit > ole32.dll: CoTaskMemFree, CoUninitialize, CoCreateInstance, CoInitialize, CoInitializeEx > ADVAPI32.dll: AllocateAndInitializeSid, FreeSid, GetTokenInformation, DuplicateTokenEx, CheckTokenMembership, IsValidSid, CopySid, RegCreateKeyExW, RegSetValueExW, RegQueryValueExW, GetUserNameW, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegOpenKeyExW, RegCloseKey > OLEAUT32.dll: -, - > SHLWAPI.dll: StrRChrW, -, PathStripToRootW, PathIsRelativeW, StrChrW, PathIsRootW, PathIsUNCW ( 0 exports ) Datei zovqwl.dll empfangen 2008.12.18 21:13:43 (CET) Status: Beendet Ergebnis: 16/38 (42.11%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.12.19.0 2008.12.18 - AntiVir 7.9.0.45 2008.12.18 TR/Vundo.Gen.6.26 Authentium 5.1.0.4 2008.12.18 - Avast 4.8.1281.0 2008.12.18 - AVG 8.0.0.199 2008.12.18 Vundo.CK BitDefender 7.2 2008.12.18 Trojan.Vundo.Gen.6 CAT-QuickHeal 10.00 2008.12.18 - ClamAV 0.94.1 2008.12.18 - Comodo 771 2008.12.17 - DrWeb 4.44.0.09170 2008.12.18 - eSafe 7.0.17.0 2008.12.18 Suspicious File eTrust-Vet 31.6.6267 2008.12.18 Win32/Vundo!generic Ewido 4.0 2008.12.18 - F-Prot 4.4.4.56 2008.12.18 W32/Virtumonde.AC.gen!Eldorado F-Secure 8.0.14332.0 2008.12.18 - Fortinet 3.117.0.0 2008.12.18 - GData 19 2008.12.18 Trojan.Vundo.Gen.6 Ikarus T3.1.1.45.0 2008.12.18 Trojan.Win32.Vundo K7AntiVirus 7.10.557 2008.12.18 - Kaspersky 7.0.0.125 2008.12.18 - McAfee 5468 2008.12.18 - McAfee+Artemis 5468 2008.12.18 - Microsoft 1.4205 2008.12.18 Trojan:Win32/Vundo.gen!R NOD32 3703 2008.12.18 Win32/Adware.SuperJuan Norman 5.80.02 2008.12.18 - Panda 9.0.0.4 2008.12.18 - PCTools 4.4.2.0 2008.12.18 - Prevx1 V2 2008.12.18 Cloaked Malware Rising 21.08.32.00 2008.12.18 Trojan.DL.Win32.Undef.col SecureWeb-Gateway 6.7.6 2008.12.18 Trojan.Vundo.Gen.6.26 Sophos 4.37.0 2008.12.18 - Sunbelt 3.2.1801.2 2008.12.11 - Symantec 10 2008.12.18 Packed.Generic.203 TheHacker 6.3.1.4.191 2008.12.17 - TrendMicro 8.700.0.1004 2008.12.18 PAK_Generic.001 VBA32 3.12.8.10 2008.12.18 - ViRobot 2008.12.18.1525 2008.12.18 Trojan.Win32.Virtumond.103424 VirusBuster 4.5.11.0 2008.12.18 - weitere Informationen File size: 103424 bytes MD5...: ec318957ef361601060320b183a88c26 SHA1..: 27cdc82f734519d714abc6731d438416fa807241 SHA256: 731b90d3dc2dd6cbd18252bdf33b1043d9fb300eeace351a7784413421144b7b SHA512: 1772ed708ebaebcd5274dbbaa1b9504720a10bbd488755dd5304b381e36306e6 59f51c4b89cded746b658faa399dfe2c190211913209ef364278897afc34129c ssdeep: 3072:r63l4lXxAkOTCvh7sKPTKMSY/Dq+ZI/XRt:rkIXxAkiCvh7sKPTKMS2LGf PEiD..: - TrID..: File type identification Win32 Executable Generic (38.5%) Win32 Dynamic Link Library (generic) (34.2%) Clipper DOS Executable (9.1%) Generic Win/DOS Executable (9.0%) DOS Executable Generic (9.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10001119 timedatestamp.....: 0x265fafa5 (Sun May 27 10:44:53 1990) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x9000 0x8400 7.89 a3031c89221cc88c8710c9337104a194 .itext 0xa000 0x1000 0x200 3.42 2ed2dca0cae4ecfca41caf55f73ca9d5 .data 0xb000 0x39000 0x10600 7.99 9adae0b0102ae28cdde8d8d85355c686 .bss 0x44000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x45000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b ( 3 imports ) > USER32.dll: MessageBoxA > KERNEL32.dll: ExitProcess, GetSystemTimeAsFileTime, CloseHandle, GetStartupInfoA, GetModuleHandleA > ADVAPI32.dll: RegQueryValueA, RegCloseKey, RegOpenKeyExA ( 0 exports ) Datei SpywareCease.exe empfangen 2008.12.18 21:21:03 (CET) Status: Beendet Ergebnis: 2/38 (5.27%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.12.19.0 2008.12.18 - AntiVir 7.9.0.45 2008.12.18 - Authentium 5.1.0.4 2008.12.18 W32/Agent.K.gen!Eldorado Avast 4.8.1281.0 2008.12.18 - AVG 8.0.0.199 2008.12.18 - BitDefender 7.2 2008.12.18 - CAT-QuickHeal 10.00 2008.12.18 - ClamAV 0.94.1 2008.12.18 - Comodo 771 2008.12.17 - DrWeb 4.44.0.09170 2008.12.18 - eSafe 7.0.17.0 2008.12.18 - eTrust-Vet 31.6.6267 2008.12.18 - Ewido 4.0 2008.12.18 - F-Prot 4.4.4.56 2008.12.18 W32/Agent.K.gen!Eldorado F-Secure 8.0.14332.0 2008.12.18 - Fortinet 3.117.0.0 2008.12.18 - GData 19 2008.12.18 - Ikarus T3.1.1.45.0 2008.12.18 - K7AntiVirus 7.10.557 2008.12.18 - Kaspersky 7.0.0.125 2008.12.18 - McAfee 5468 2008.12.18 - McAfee+Artemis 5468 2008.12.18 - Microsoft 1.4205 2008.12.18 - NOD32 3703 2008.12.18 - Norman 5.80.02 2008.12.18 - Panda 9.0.0.4 2008.12.18 - PCTools 4.4.2.0 2008.12.18 - Prevx1 V2 2008.12.18 - Rising 21.08.32.00 2008.12.18 - SecureWeb-Gateway 6.7.6 2008.12.18 - Sophos 4.37.0 2008.12.18 - Sunbelt 3.2.1801.2 2008.12.11 - Symantec 10 2008.12.18 - TheHacker 6.3.1.4.191 2008.12.17 - TrendMicro 8.700.0.1004 2008.12.18 - VBA32 3.12.8.10 2008.12.18 - ViRobot 2008.12.18.1525 2008.12.18 - VirusBuster 4.5.11.0 2008.12.18 - weitere Informationen File size: 4593152 bytes MD5...: 6d553040195fe2bf22785ec8e74c124d SHA1..: ec86baf30fab3488dcc694c877d56ac995522ad3 SHA256: 36acad11eef4fa65bb9353d83cb10bacdd6003a53091cd299c5527d205bd0912 SHA512: 2abd39da2a288b0fafc1a14d771b7fa3b1f5667dc0cddee59189344b1ddf0cb8 c7d5f537ce2758989d99a7988134a0b428ae11a2a1a0b1785711d0737e373c4f ssdeep: 24576:8LHgSSqFbXB2L3sZPaoDiu85Kf+Ah+PLAbrXP4UDMJW/nzUJTumR8aQTzp a:8jgUBL3DVbxh+8brgTW/nzUJNmaQzp PEiD..: - TrID..: File type identification Win32 Executable Borland Delphi 7 (56.1%) Win32 Executable Borland Delphi 5 (37.8%) Win32 EXE PECompact compressed (generic) (3.4%) Win32 Executable Delphi generic (1.2%) Win32 Executable Generic (0.7%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4ec414 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 8 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0xeb634 0xeb800 6.57 72039a4bc803cd3529b814a93acb9819 DATA 0xed000 0x431c 0x4400 5.16 29273686a43d5d556514d608f0631c67 BSS 0xf2000 0x2ae1 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0xf5000 0x2bb2 0x2c00 4.90 c4c0870b46eacfbdf144b97688a48066 .tls 0xf8000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0xf9000 0x18 0x200 0.21 2432f88b790f33fb20e348bfd875d976 .reloc 0xfa000 0x103a8 0x10400 6.66 d371e8d8cfb07b4465747826b1f3046d .rsrc 0x10b000 0x35e400 0x35e400 6.03 bd4bd8d72fa53b881bb4d649905eb4b9 ( 22 imports ) > kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, SetCurrentDirectoryA, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle > user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey > oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen > kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA > advapi32.dll: RegSetValueExA, RegQueryValueExA, RegQueryInfoKeyA, RegOpenKeyExA, RegFlushKey, RegEnumValueA, RegEnumKeyExA, RegDeleteValueA, RegDeleteKeyA, RegCreateKeyExA, RegCloseKey, GetUserNameA > kernel32.dll: lstrcpyA, lstrcmpA, WritePrivateProfileStringA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, UnmapViewOfFile, SuspendThread, Sleep, SizeofResource, SetThreadPriority, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, SetCurrentDirectoryA, ResumeThread, ResetEvent, ReleaseMutex, ReadFile, MultiByteToWideChar, MulDiv, MapViewOfFile, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalSize, GlobalReAlloc, GlobalMemoryStatus, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetTimeZoneInformation, GetTickCount, GetThreadLocale, GetTempPathA, GetSystemInfo, GetSystemDirectoryA, GetStringTypeExA, GetStdHandle, GetProcAddress, GetPrivateProfileStringA, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeThread, GetDriveTypeA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnumCalendarInfoA, EnterCriticalSection, DeleteFileA, DeleteCriticalSection, CreateThread, CreateProcessA, CreateMutexA, CreateFileMappingA, CreateFileA, CreateEventA, CreateDirectoryA, CopyFileA, CompareStringA, CloseHandle > version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA > gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetEnhMetaFileBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SelectClipRgn, SaveDC, RoundRect, RestoreDC, Rectangle, RectVisible, RealizePalette, Polyline, PlayEnhMetaFile, Pie, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetTextMetricsA, GetTextExtentPointA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectType, GetObjectA, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, GdiFlush, ExtTextOutA, ExcludeClipRect, Ellipse, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreateRoundRectRgn, CreatePenIndirect, CreatePen, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, BitBlt > user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, ValidateRect, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowRgn, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClipboardData, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OpenClipboard, OffsetRect, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMessagePos, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDoubleClickTime, GetDlgItem, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetAsyncKeyState, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, EmptyClipboard, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, CloseClipboard, ClientToScreen, ChildWindowFromPoint, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout > kernel32.dll: Sleep > oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit > ole32.dll: CoTaskMemFree, CoTaskMemAlloc, CLSIDFromProgID, CoCreateInstance, CoUninitialize, CoInitialize > oleaut32.dll: GetErrorInfo, SysFreeString > comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_GetIcon, ImageList_Remove, ImageList_DrawEx, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls > shell32.dll: Shell_NotifyIconA, ShellExecuteA, SHGetFileInfoA, ExtractAssociatedIconA > comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA > networkdll.dll: GetHttpFileThread, PostVirusInfo > opfile.dll: GetPeFileCodeMd5 > spkdll.dll: FixPrgamInList, GetPrgamListInfo, OptRegResult, ContrlRegProtect, WaitForRegEvent, StartRegProtect, RestoreFsdDispatchHook, RestoreFsdInlineHook, RestoreInlineHook, RestoreSsdtHook, SearchShadowTableHook, SearchSSDTHook, SearchDriver, GetProcModuleFile, killProcess, SearchProcess, killFile > winmm.dll: timeGetTime > advapi32.dll: QueryServiceConfigA, OpenServiceA, OpenSCManagerA, EnumServicesStatusA, CloseServiceHandle ( 0 exports ) Bei den ersten beiden Dateien hat VirusTotal gesagt, sie seien erst kürzlich überprüft wurden. Vielleicht ist das ja auch noch interessant. So, dann zieh ich jetzt hier mal den Stecker und hoffe, dass der Ärmste den Virenbefall gut übersteht. Bis dann, Diana |
|
18.12.2008, 21:54
| #4 |
| | Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Versuchen wir den zu finden. Arbeite bitte diese Liste ab. 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 2.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!) 3.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! ciao, andreas |
|
19.12.2008, 02:39
| #5 |
| | Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Mal sehen, ob ich das alles kapiert habe  2.) Blacklight hat keine Fehler gefunden. Malwarebytes Antimalware sagt folgendes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1517
Windows 5.1.2600 Service Pack 3
19.12.2008 00:23:03
mbam-log-2008-12-19 (00-23-03).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 132726
Laufzeit: 1 hour(s), 5 minute(s), 26 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 41
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
C:\WINDOWS\system32\pmnlmmNH.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\zovqwl.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\nnnnLbBU.dll (Trojan.Vundo) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{400dc12c-6191-469f-a75b-f2c35248332c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{400dc12c-6191-469f-a75b-f2c35248332c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnnlbbu (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d999b8e9-c851-4f1e-b27c-d1c5ca3137b0} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{d999b8e9-c851-4f1e-b27c-d1c5ca3137b0} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f0f0cf21-6d42-41a7-91c4-d6dbefdf1e56} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f0f0cf21-6d42-41a7-91c4-d6dbefdf1e56} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{400dc12c-6191-469f-a75b-f2c35248332c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d999b8e9-c851-4f1e-b27c-d1c5ca3137b0} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\pmnlmmnh -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\pmnlmmnh -> Delete on reboot.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\zovqwl.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\nnnnLbBU.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\pmnlmmNH.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\HNmmlnmp.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\HNmmlnmp.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ifjfmvsv.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vsvmfjfi.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kcmtdcyt.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tycdtmck.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mktrtxio.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\oixtrtkm.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tpvdxxmp.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pmxxdvpt.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wgqkvmxg.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gxmvkqgw.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xqtnlrwf.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fwrlntqx.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xrwrqvov.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vovqrwrx.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXA3ST67\kb600179[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXA3ST67\index[2] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\flwbfr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\omsfpucg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\orbuhgpc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\maqjvb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mqyfvhid.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fckvov.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\moxkvrwt.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pbofjopk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pdpjxlss.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\skzjhb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tmjxsn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dgwmfsad.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\csaciovy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\byehgnus.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\atvgcu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xpbufu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xtyklj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sxkbcnlc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ghdjcsmg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\egwiko.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
3.) Combofix: Code:
ATTFilter ComboFix 08-12-18.01 - *** 2008-12-19 0:46:42.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.727 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\amyxeybi.ini
c:\windows\system32\bingdgwq.ini
c:\windows\system32\cbqmcubk.ini
c:\windows\system32\fudtat.dll
c:\windows\system32\fviqdfqg.dll
c:\windows\system32\iccanf.dll
c:\windows\system32\IQqqAJlm.ini
c:\windows\system32\IQqqAJlm.ini2
c:\windows\system32\jmnjdwbs.ini
c:\windows\system32\lfvgoh.dll
c:\windows\system32\ljyvialu.ini
c:\windows\system32\pxkfex.dll
c:\windows\system32\qtsyguai.ini
c:\windows\system32\radyjdfy.dll
c:\windows\system32\rituxikv.ini
c:\windows\system32\rkycpbee.dll
c:\windows\system32\tejicuth.dll
c:\windows\system32\tvtvpkvq.ini
c:\windows\Tasks\bxdeerkb.job
.
((((((((((((((((((((((( Dateien erstellt von 2008-11-18 bis 2008-12-18 ))))))))))))))))))))))))))))))
.
2008-12-19 00:32 . 2008-12-19 00:38 <DIR> d-------- c:\programme\CCleaner
2008-12-19 00:31 . 2008-12-19 00:31 2,972,904 --a------ c:\programme\ccsetup214.exe
2008-12-18 23:08 . 2008-12-18 23:08 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-18 23:08 . 2008-12-18 23:08 <DIR> d-------- c:\dokumente und einstellungen\Diana\Anwendungsdaten\Malwarebytes
2008-12-18 23:08 . 2008-12-18 23:08 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-18 23:08 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-18 23:08 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-18 23:05 . 2008-12-18 23:05 <DIR> d-------- c:\programme\Neuer Ordner
2008-12-18 23:05 . 2008-12-18 23:06 2,539,400 --a------ c:\programme\Anti-Malware.exe
2008-12-18 02:14 . 2008-12-18 02:15 <DIR> d-------- c:\programme\HJT
2008-12-05 01:35 . 2008-12-05 09:28 <DIR> d-------- c:\programme\Spyware Cease
2008-12-05 01:35 . 2008-12-11 09:15 28,672 --a------ c:\windows\system32\drivers\RKHit.sys
2008-12-04 15:06 . 2008-12-04 15:06 268 --ah----- C:\sqmdata00.sqm
2008-12-04 15:06 . 2008-12-04 15:06 244 --ah----- C:\sqmnoopt00.sqm
2008-11-21 23:12 . 2008-11-21 23:12 <DIR> d-------- c:\temp\google
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-18 23:26 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2
2008-12-11 20:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-11-28 16:29 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-20 23:09 --------- d-----w c:\programme\PokerStars
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-19 11:49 --------- d-----w c:\programme\Messenger Plus! Live
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-02-14 486856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 90112]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696]
"MSI"="c:\programme\MSI\MSI.exe" [2007-01-13 311296]
"SpywareCease.exe"="c:\programme\Spyware Cease\SpywareCease.exe" [2008-12-11 4593152]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe]
"PCTVOICE"="pctspk.exe" [2003-02-24 c:\windows\system32\pctspk.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Belkin Wireless USB Utility.lnk - c:\programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe [2005-10-28 1404928]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=zovqwl.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
R3 RkHit;RkHit;\??\c:\windows\system32\drivers\RKHit.sys [2008-12-05 28672]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad185983-953f-11dd-b3cc-0019e08487fd}]
\Shell\AutoRun\command - F:\setupSNK.exe
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
2008-11-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
BHO-{4741B6FC-AD53-4984-8B1E-63C8050BB6AF} - (no file)
HKLM-Run-Generic Host - wauclt.exe
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = h**p://***.daemon-search.com/startpage
IE: {{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - c:\poker\CDPoker\casino.exe
IE: {{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - c:\poker\CDPoker\casino.exe -
c:\windows\Downloaded Program Files\audiere.dll - c:\windows\Downloaded Program Files\gopets.ocx
O16 -: {E85362EF-40D4-4E5D-BE07-D6B036CCA277}
hxxps://secure.gopetslive.com/dev/gopets.cab
c:\windows\Downloaded Program Files\gopets.inf
c:\windows\Downloaded Program Files\GoPetsWeb.ocx - O16 -: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8}
hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
c:\windows\Downloaded Program Files\GoPetsWeb.inf
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\iwhfxvhd.default\
FF - prefs.js: browser.search.defaulturl - h**p://***.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://***.gmer.net
Rootkit scan 2008-12-19 00:49:07
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-19 0:51:27
ComboFix-quarantined-files.txt 2008-12-18 23:50:17
Vor Suchlauf: 8.597.192.704 Bytes frei
Nach Suchlauf: 8,644,845,568 Bytes frei
133 --- E O F --- 2008-11-12 11:03:56
5.) HJK: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:20:43, on 19.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe C:\Programme\OpenOffice.org 2.3\program\soffice.exe C:\Programme\OpenOffice.org 2.3\program\soffice.BIN C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe C:\WINDOWS\explorer.exe C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\qlketzd.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.daemon-search.com/startpage R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [MSI] C:\Programme\MSI\MSI.exe -nogui O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [SpywareCease.exe] C:\Programme\Spyware Cease\SpywareCease.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: Belkin Wireless USB Utility.lnk = C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://***.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1030227973732 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} (GoPets Control) - h**ps://secure.gopetslive.com/dev/gopets.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: zovqwl.dll O23 - Service: MSI Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe -- End of file - 6553 bytes Diana Edit: Ich hab gerade gelesen, dass es für Blacklight auch ein Log gibt. Allerdings kann ich das nicht finden. Ich habe Blacklight jetzt auch nicht gespeichert sondern nur auf "Ausführen" geklickt. Meines Wissens nach ist das ja dann irgendwo bei den temporären Dateien, oder? Und die hat ja der Cleaner gelöscht. Oder irre ich mich da? Geändert von lady chill (19.12.2008 um 02:53 Uhr) |
|
19.12.2008, 17:54
| #6 | |
| | Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Hallo Diana, woher hast du Messenger Plus? Wenn er nichts gefunden hat, brauche ich das Log von Blacklight nicht. 1.) Deinstalliere (Start => Systemsteuerung => Software) folgende Programme: Code:
ATTFilter Acrobat Reader (veraltet)
Spyware Cease
Java (veraltet)
Alles von Google
Code:
ATTFilter c:\windows\system32\drivers\RKHit.sys
c:\windows\system32\drivers\mrxsmb.sys
Zitat:
4.) Combofix - Scripten a. Starte das Notepad (Start / Ausführen / notepad[Enter]) b. Jetzt füge mit Kopieren/Einfügen den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter File::
c:\windows\system32\zovqwl.dll
Folder::
C:\Programme\Spyware Cease
Dirlook::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\temp
C:\Programme\Neuer Ordner
d. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. e. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  f. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann![/QUOTE] 5.) Überprüfe dein System bitte noch mit SUPERAntiSpyware und poste das log. 6.) CureIT Dr.Web
7.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation 8.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI. 9.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! ciao, andreas |
|
22.12.2008, 05:44
| #7 |
| | Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Hello again, alles klar, hab sie deaktiviert. Kann die dauerhaft aus bleiben, oder sollte ich sie irgendwann wieder anschalten? Ich frage nur, weil er jedes mal wenn ich sie deaktiviere rummeckert, dass irgendwelche Änderungen dann nicht mehr rückgängig gemacht werden können usw. Hab jetzt nochmal einen Systemscan von Avira machen lassen und es wurden noch zwei Trojaner gefunden. Einmal den TR/Vundo.Gen in C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP14\A0001748.dll und den gleichen in C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP14\A0001749.dll Ich hab ja die Hoffnung, dass sich das Ganze mit dem Deaktivieren der Systemwiederherstellung erledigt haben könnte, da im Pfad ja irgendwas von "restore" steht. Ich hoffe ich liege da richtig.  Gute Nacht, Diana |
|
22.12.2008, 16:22
| #8 | |||
| | Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18Zitat:
Zitat:
 Wenn Windows meckert, dann einfach gar nicht ignorieren. Zitat:
Frohe Weihnachten, andreas |
|
22.12.2008, 16:56
| #9 |
| | Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Nee, dann lass ich die lieber aus. Also vielen Dank nochmal, dass du meinen Kunibert vor dem sicheren Tod gerettet hast.  Frohe Weihnachten und einen guten Rutsch, Diana |
|
| Themen zu Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 |
| adobe, antivir, avira, dll, explorer, frage, generic, generic host, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, musik, opera, programme, rundll, sekunden, software, spyware, system 32, trojaner, usb, was tun, windows, windows xp, windows xp sp3, xp sp3, öffnet |
Hybrid-Darstellung
