Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Infektion mit vundo.gen und einigem mehr...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.05.2009, 20:16   #1
Spottie
 
Infektion mit vundo.gen und einigem mehr... - Standard

Infektion mit vundo.gen und einigem mehr...



Hallo da draußen!

So, folgendermaßen: Eine Bekannte hat mich gebeten, mal ihren PC anzuschauen, weil sich da wohl ein Virus breitgemacht hat und sie keine Ahnung von sowas hat. Problem dabei ist: Ich hab nicht bedeutend mehr Ahnung

Ich hab also versucht, mich an eure ersten Schritte zu halten.

Konsequenz daraus ist, nachdem ich mir hier eure ersten Tipps angesehen habe, lass ich erstmal CCleaner drüberlaufen und Malwarebytes Anti-Malware auch.

Das hier ist der Report und das HijackThis File:

Anti-Malware Report:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2067
Windows 5.1.2600 Service Pack 3

02.05.2009 19:56:15
AA-mbam-log-2009-05-02 (19-55-57).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 175302
Laufzeit: 39 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 5
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 32

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\lumuheze.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\bimefili.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tuwihavo.dll (Trojan.Vundo.H) -> No action taken.
c:\WINDOWS\system32\pavelaro.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\Rbubi.dll (Trojan.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bf1561c2-c5d4-4213-a6c0-3254af5ba0ce} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{bf1561c2-c5d4-4213-a6c0-3254af5ba0ce} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bf1561c2-c5d4-4213-a6c0-3254af5ba0ce} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm734ff003 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rajirefoge (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\epeluq (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\tuwihavo.dll -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\tuwihavo.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\pavelaro.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\pavelaro.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\bimefili.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\lumuheze.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tuwihavo.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\Rbubi.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Diana\Lokale Einstellungen\Temp\sec_free_setup.exe (Rogue.SecureExpertCleaner) -> No action taken.
C:\Dokumente und Einstellungen\Diana\Lokale Einstellungen\Temp\IXP000.TMP\hid(2).exe (Backdoor.Bot) -> No action taken.
C:\System Volume Information\_restore{A11D6FCD-EF8E-4B5C-825C-5292F47DB320}\RP695\A0131802.exe (Trojan.Hiloti) -> No action taken.
C:\System Volume Information\_restore{A11D6FCD-EF8E-4B5C-825C-5292F47DB320}\RP695\A0132799.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{A11D6FCD-EF8E-4B5C-825C-5292F47DB320}\RP695\A0132800.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{A11D6FCD-EF8E-4B5C-825C-5292F47DB320}\RP696\A0133932.exe (Rogue.SpywareRemover) -> No action taken.
C:\System Volume Information\_restore{A11D6FCD-EF8E-4B5C-825C-5292F47DB320}\RP696\A0133927.exe (Rogue.SpywareRemover) -> No action taken.
C:\System Volume Information\_restore{A11D6FCD-EF8E-4B5C-825C-5292F47DB320}\RP696\A0133929.exe (Rogue.SpywareRemover) -> No action taken.
C:\System Volume Information\_restore{A11D6FCD-EF8E-4B5C-825C-5292F47DB320}\RP696\A0133931.exe (Rogue.MalwareRemover2009) -> No action taken.
C:\System Volume Information\_restore{A11D6FCD-EF8E-4B5C-825C-5292F47DB320}\RP697\A0134029.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\badarizo.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\bimefili.dll.tmp (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\degejiba.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\devoresi.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\tuwihavo.dll.vir (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\kohirovu.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\lumuheze.dll.tmp (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\instsp2.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\mibevilo.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bahezido.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bovenage.dll.vir (Trojan.Vundo) -> No action taken.
C:\WINDOWS\Fonts\bellbottom.zip (Worm.Archive) -> No action taken.
C:\WINDOWS\Fonts\blomster.zip (Worm.Archive) -> No action taken.
C:\WINDOWS\Fonts\chlorinar.zip (Worm.Archive) -> No action taken.
C:\WINDOWS\Fonts\croisant.zip (Worm.Archive) -> No action taken.
C:\WINDOWS\Fonts\lokicola.zip (Worm.Archive) -> No action taken.
C:\WINDOWS\Fonts\tallpaul.zip (Worm.Archive) -> No action taken.


(Anm.: Ich nehme mal an, dass die "no action taken" Dinger nach einem Neustart entfernt wurden, jedenfalls sagte mir das Prog, einige Dinge könnten erst nach einem Neustart entfernt werden.)

Und hier das HijackThis Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:03:34, on 02.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Anti-Spyware\ewido anti-spyware 4.0\guard.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Veoh\VeohClient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://***.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O1 - Hosts: 82.98.231.89 url.adtrgt.com
O1 - Hosts: 82.98.231.89 googleads2.gdoubleclick.net
O1 - Hosts: scanner.info
O1 - Hosts: 82.98.231.89 antivirus-xp-pro-2009.com
O1 - Hosts: 82.98.231.89 microsoft.infosecuritycenter.com
O1 - Hosts: 82.98.231.89 microsoft.softwaresecurityhelp.com
O1 - Hosts: 82.98.231.89 onlinenotifyq.net
O1 - Hosts: 82.98.231.89 antivirusxp-pro-2009.com
O1 - Hosts: 82.98.231.89 microsoft.browser-security-center.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {bf1561c2-c5d4-4213-a6c0-3254af5ba0ce} - C:\WINDOWS\system32\jijejamu.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\wLAN\D-Link AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [WLConfig] C:\Programme\WLAN Monitor\WLConfig.exe -autostart
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [rajirefoge] Rundll32.exe "C:\WINDOWS\system32\bahezido.dll",s
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.yakumo.de
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107252954562
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\windows\system32\mibevilo.dll,C:\WINDOWS\system32\desoyahi.dll
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\Anti-Spyware\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9594 bytes
         

Alt 03.05.2009, 11:28   #2
Ghost1975
 
Infektion mit vundo.gen und einigem mehr... - Standard

Infektion mit vundo.gen und einigem mehr...



Hi Spottie

Zitat:
(Anm.: Ich nehme mal an, dass die "no action taken" Dinger nach einem Neustart entfernt wurden, jedenfalls sagte mir das Prog, einige Dinge könnten erst nach einem Neustart entfernt werden.)
No action taken heißt das nichts gemacht wurde,also nochmal Komplett Scannen ,und dann wie in dieser Anleitung "Ausgewähltes Entfernen" Anklicken.

Dann starte nochmal Hijackthis,"Do a Systemscan only"
und macht nen Hacken bei folgenden Sachen rein:

Zitat:
O1 - Hosts: 82.98.231.89 url.adtrgt.com
O1 - Hosts: 82.98.231.89 googleads2.gdoubleclick.net
O1 - Hosts: scanner.info
O1 - Hosts: 82.98.231.89 antivirus-xp-pro-2009.com
O1 - Hosts: 82.98.231.89 microsoft.infosecuritycenter.com
O1 - Hosts: 82.98.231.89 microsoft.softwaresecurityhelp.com
O1 - Hosts: 82.98.231.89 onlinenotifyq.net
O1 - Hosts: 82.98.231.89 antivirusxp-pro-2009.com
O1 - Hosts: 82.98.231.89 microsoft.browser-security-center.com
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - AppInit_DLLs: c:\windows\system32\mibevilo.dll,C:\WINDOWS\system32\desoyahi.dll
Folgende Datei bitte bei virustotal hochladen und dort scannen lassen:

C:\WINDOWS\system32\jijejamu.dll
C:\WINDOWS\system32\bahezido.dll

Poste die kompletten Ergebnisse hier im Forum.



MfG

Ghost1975

Edit:
Deine Bekannte hat Teilweise auch Veraltete Softwar auf dem Rechner zB:
C:\Programme\Java\jre1.5.0_06 ->Neuste Version 1.6.0.13
C:\Programme\Adobe\Acrobat 7.0 -> Die neuste Version ist 9.1 oder so
diese Software sollte unbedingt Aktualisiert werden.
Dafür gibt es auch solche netten Helferlein wie Secunia PSI
__________________


Geändert von Ghost1975 (03.05.2009 um 11:38 Uhr)

Alt 24.07.2009, 19:01   #3
Spottie
 
Infektion mit vundo.gen und einigem mehr... - Standard

Infektion mit vundo.gen und einigem mehr...



Hallo Leute, sorry, dass ich dieses uralt Thema nochmal hochbumpen muss, ich musste einen Tag nach dem ich das ursprünglich gepostet hatte überraschend für ein paar Wochen in's Ausland. Daher konnte ich mich nicht mehr weiter drum kümmern, und meine Bekannte hat sich alleine nich rangetraut. Der Rechner war seit dem nicht mehr an, daher sind die Scans nach wie vor aktuell. So, jetzt mach ich mal weiter mit dem, das mir aufgetragen wurde:


Okay, hier das Log des neuerlichen Anti-Malware-Scans:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2067
Windows 5.1.2600 Service Pack 3

24.07.2009 18:24:30
mbam-log-2009-07-24 (18-24-30).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 174724
Laufzeit: 37 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\jijejamu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\desoyahi.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bf1561c2-c5d4-4213-a6c0-3254af5ba0ce} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{bf1561c2-c5d4-4213-a6c0-3254af5ba0ce} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bf1561c2-c5d4-4213-a6c0-3254af5ba0ce} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rajirefoge (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\desoyahi.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\desoyahi.dll  -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\jijejamu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\desoyahi.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\polekove.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
         
Und hier das Ergebnis des anschließeden HijackThis Scans, bei dem ich dann auch wie angewiesen die Dateien, die mir genannt wurden, gefixt habe.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:34:19, on 24.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Anti-Spyware\ewido anti-spyware 4.0\guard.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Veoh\VeohClient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
c:\progra~1\gemein~1\instal~1\update~1\isuspm.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe
C:\Programme\Anti-Spyware\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O1 - Hosts: 82.98.231.89 url.adtrgt.com
O1 - Hosts: 82.98.231.89 googleads2.gdoubleclick.net
O1 - Hosts: scanner.info
O1 - Hosts: 82.98.231.89 antivirus-xp-pro-2009.com
O1 - Hosts: 82.98.231.89 microsoft.infosecuritycenter.com
O1 - Hosts: 82.98.231.89 microsoft.softwaresecurityhelp.com
O1 - Hosts: 82.98.231.89 onlinenotifyq.net
O1 - Hosts: 82.98.231.89 antivirusxp-pro-2009.com
O1 - Hosts: 82.98.231.89 microsoft.browser-security-center.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {bf1561c2-c5d4-4213-a6c0-3254af5ba0ce} - C:\WINDOWS\system32\jijejamu.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\wLAN\D-Link AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [WLConfig] C:\Programme\WLAN Monitor\WLConfig.exe -autostart
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [rajirefoge] Rundll32.exe "C:\WINDOWS\system32\bahezido.dll",s
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.yakumo.de
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107252954562
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\windows\system32\mibevilo.dll,C:\WINDOWS\system32\desoyahi.dll
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\Anti-Spyware\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9792 bytes
         

So und als Letztes:

Hier das Ergebnis der beiden Dateien, die ich bei Virustotal überprüfen sollte: Eine der beiden Dateien war nach dem Malware scan und entfernen nicht mehr da, das Ergebnis der zweiten ist hier:

jijejamu.dll

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.24	2009.07.24	Trojan.Win32.Vundo!IK
AhnLab-V3	5.0.0.2	2009.07.24	-
AntiVir	7.9.0.228	2009.07.24	TR/Vundo.Gen
Antiy-AVL	2.0.3.7	2009.07.24	-
Authentium	5.1.2.4	2009.07.24	W32/Virtumonde.BA.gen!Eldorado
Avast	4.8.1335.0	2009.07.24	Win32:Vuku
AVG	8.5.0.387	2009.07.24	Vundo.GU
BitDefender	7.2	2009.07.24	Trojan.Vundo.GNN
CAT-QuickHeal	10.00	2009.07.24	Win32.Packed.Krap.q.5
ClamAV	0.94.1	2009.07.24	-
Comodo	1751	2009.07.24	-
DrWeb	5.0.0.12182	2009.07.24	Trojan.Virtumod.based.27
eSafe	7.0.17.0	2009.07.23	Suspicious File
eTrust-Vet	31.6.6638	2009.07.24	Win32/Vundo.CSE
F-Prot	4.4.4.56	2009.07.24	W32/Virtumonde.BA.gen!Eldorado
F-Secure	8.0.14470.0	2009.07.24	Trojan:W32/Vundo.gen!D
Fortinet	3.120.0.0	2009.07.24	-
GData	19	2009.07.24	Trojan.Vundo.GNN
Ikarus	T3.1.1.64.0	2009.07.24	Trojan.Win32.Vundo
Jiangmin	11.0.800	2009.07.24	-
K7AntiVirus	7.10.801	2009.07.24	-
Kaspersky	7.0.0.125	2009.07.24	Packed.Win32.Krap.q
McAfee	5686	2009.07.23	Vundo.gen.ab
McAfee+Artemis	5687	2009.07.24	Vundo.gen.ab
McAfee-GW-Edition	6.8.5	2009.07.24	Heuristic.BehavesLike.Win32.Adware.B
Microsoft	1.4903	2009.07.24	Worm:Win32/Vundo.A
NOD32	4274	2009.07.24	a variant of Win32/Kryptik.OG
Norman	6.01.09	2009.07.22	-
nProtect	2009.1.8.0	2009.07.24	-
Panda	10.0.0.14	2009.07.24	-
PCTools	4.4.2.0	2009.07.24	-
Prevx	3.0	2009.07.24	-
Rising	21.39.44.00	2009.07.24	AdWare.Win32.Undef.drs
Sophos	4.44.0	2009.07.24	Troj/Virtum-Gen
Sunbelt	3.2.1858.2	2009.07.23	Trojan.Crypt.Krap (v)
Symantec	1.4.4.12	2009.07.24	Packed.Generic.214
TheHacker	6.3.4.3.373	2009.07.24	Trojan/Vundo.gen
TrendMicro	8.950.0.1094	2009.07.24	-
VBA32	3.12.10.9	2009.07.24	Trojan.Win32.Stuh.pou
ViRobot	2009.7.24.1851	2009.07.24	-
VirusBuster	4.6.5.0	2009.07.24	Trojan.Vundo.Gen!Pac.39

weitere Informationen
File size: 49664 bytes
MD5...: 75976ada816bc30b6f18c764325cb766
SHA1..: f8c27f6e27c8356004a62d8de8efc520ad098130
SHA256: afde4299aedcbeceb902f1c65dd59cfa4b6f98f90b7b3daf55ebc695bd09e87e
ssdeep: 768:NY1ozIcAQJo03JnQTQl/fhxARR3ZWA4ENKKCpk0+Th2Ls9MFZx6TIBFBvqhq
:ewJT5nQT+x29AA4EYKCpU2Lsqx6kFVqc
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1e022
timedatestamp.....: 0x48237766 (Thu May 08 21:57:58 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1000 0x200 7.56 49b99b5f64ee8b029686254f6b87438c
.rdata 0x2000 0x1000 0x200 7.65 a8bdbc01de9ea095f00978b464b94b69
.data 0x3000 0x1a000 0x8c00 7.99 a4d8f341ff0389e2dff8ad2513fdd440
.reloc 0x1d000 0x1000 0x600 1.88 0006e8ec8dc66fe6abfaa5357f6b588b
.pdata 0x1e000 0x3000 0x2800 5.05 4355cb6507e75aa95f7c5be332289783

( 5 imports )
> KERNEL32.dll: CreateFileW, ExitProcess
> WINMM.dll: mmioWrite, CloseDriver
> USER32.dll: SystemParametersInfoA
> GDI32.dll: CreateBitmap
> comdlg32.dll: PrintDlgExW

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
         
So, das Schicksal des Rechners ist wieder in euren Händen, ich erwarte mit Spannung weitere Anweisungen
__________________

Alt 03.08.2009, 17:46   #4
Spottie
 
Infektion mit vundo.gen und einigem mehr... - Standard

Infektion mit vundo.gen und einigem mehr...



Hallo Leute, nachdem hier jetzt leider über 'ne Woche nichts neues kam, bump ich das noch mal hoch und bitte nochmal ganz höflich um Hilfe.

Vielen Dank bereits vorweg!

Antwort

Themen zu Infektion mit vundo.gen und einigem mehr...
1.exe, adobe, bho, browser, desktop, disabled.securitycenter, einstellungen, excel, explorer, helper, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, malwarebytes anti-malware, monitor, neustart, notification, problem, registrierungsschlüssel, rundll, security, server, software, system, temp, trojan.downloader, trojan.hiloti, virus, vundo.gen, windows xp, wlan



Ähnliche Themen: Infektion mit vundo.gen und einigem mehr...


  1. Infektion mit TR/Rootkit.Gen und TR/Crypt.EPACK.4696 - Windows Update und Avira Echtzeitscan funktionieren nicht mehr
    Log-Analyse und Auswertung - 27.05.2014 (4)
  2. Infektion des System, Anzeichen aller Art (falsch Weiterleitung von Google, com Surrogate Dienst funkt nicht mehr etc...)
    Plagegeister aller Art und deren Bekämpfung - 02.01.2013 (1)
  3. Kann nicht mehr auf die Kontoeinstellungen meines Google Accounts zugreifen ! Infektion: JS:Blacole-AV [Trj]
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (21)
  4. Infektion mit Live Security Platinum: Dateien lassen sich nicht mehr ausführen inkl. F8
    Plagegeister aller Art und deren Bekämpfung - 15.07.2012 (33)
  5. nach Infektion mit trojan spyeyes,zbot,agent Java virus funktioniert tastatur nicht mehr
    Log-Analyse und Auswertung - 25.08.2011 (1)
  6. WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover
    Log-Analyse und Auswertung - 27.11.2009 (5)
  7. TR/Vundo.Gen lässt den PC nicht mehr hochfahren
    Plagegeister aller Art und deren Bekämpfung - 24.03.2009 (3)
  8. trojan.vundo und vieles mehr. bin verzweifelt
    Log-Analyse und Auswertung - 07.11.2008 (2)
  9. Vundo & mehr... (294 Infizierte Dateien)
    Plagegeister aller Art und deren Bekämpfung - 03.10.2008 (1)
  10. Vundo & mehr...
    Mülltonne - 02.10.2008 (1)
  11. Hilfe Vundo.fdg Trojaner und nichts geht mehr!
    Plagegeister aller Art und deren Bekämpfung - 13.09.2008 (1)
  12. Vundo Trojaner entfernt - kein desktop mehr
    Plagegeister aller Art und deren Bekämpfung - 18.07.2008 (8)
  13. TR/Vundo.gen Infektion wieder beseitigt?
    Log-Analyse und Auswertung - 23.06.2008 (0)
  14. TR/Vundo.Gen-Infektion
    Plagegeister aller Art und deren Bekämpfung - 21.06.2008 (10)
  15. TR/vundo.gen und mehr? Mit Log File!
    Mülltonne - 29.05.2008 (0)
  16. [TR/Spy.VBStat.B.1] , [TR/Vundo.Gen] und noch einige mehr ?
    Plagegeister aller Art und deren Bekämpfung - 20.04.2007 (15)
  17. Trojaner entfernt VUNDO etc. Keine Downloads mehr !
    Plagegeister aller Art und deren Bekämpfung - 07.01.2007 (11)

Zum Thema Infektion mit vundo.gen und einigem mehr... - Hallo da draußen! So, folgendermaßen: Eine Bekannte hat mich gebeten, mal ihren PC anzuschauen, weil sich da wohl ein Virus breitgemacht hat und sie keine Ahnung von sowas hat. Problem - Infektion mit vundo.gen und einigem mehr......
Archiv
Du betrachtest: Infektion mit vundo.gen und einigem mehr... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.