Trojaner-Board - bitte um Hilfe zu logfile

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - bitte um Hilfe zu logfile (https://www.trojaner-board.de/37543-bitte-um-hilfe-logfile.html)

bitte um Hilfe zu logfile

moin zusammen,

es wäre super, wenn mir jemand bei den folgenden kleinen problemen helfen könnte. antivir beschwert sich ständig über 2 gäste: "TR/Crypt.ULPM.Gen" und "TR/Vundo.Gen". ich habe keine ahnung, wie ich die wieder loswerden kann.
www.hijackthis.de empfiehlt, mein wLAN zu töten (O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = ?) . das ist vielleicht nicht so schlau, oder?

Logfile of HijackThis v1.99.1
Scan saved at 12:49:23, on 31.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\108Mbps Wireless LAN Adapter\WLANPRO.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Reg.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1174826713987
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

Hallo. :)

Wo werden denn die von dir beschriebenen Schädlinge gefunden?
Poste bitte den genauen Verzeichnis- bzw. Dateipfad.

Außerdem kannst du gleich dein System hiermit scannen:

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Das Hijacklog ist meiner Ansicht nach sauber, es deutet nichts auf die o.g. Schädlinge hin. ;)

Sunny

hey [Gc]Sunny,

danke für die erste beruhigende nachricht. das logfile von antivir, das verrät, wo die plagegeister gefunden wurden, habe ich angehängt. damit es klein genug bleibt, musste ich es etwas editieren und habe nur die meldungen drin gelassen, die mit [WARNUNG] beginnen - also keine angst vor dem langen log. ich denke, dass die meisten funde in c:\windows\system32 und den persönlichen ordnern lagen.
darüber hinaus kann der firefox bei mir keine dateien mehr speichern (dazu muss ich immer den IE benutzen) und es öffnen sich andauernd tabs, die mir sagen, dass ich angst vor neuen viren wie zb. serwab haben soll, weil system ungeschützt ist. zur abhilfe soll ich Winantivirus2006 installieren. ich habe keine ahnung, ob das etwas mit dem problem zu tun hat.
an die weitere analyse mit MWAV begebe ich mich dann jetzt mal. danke für deine hilfe & cheers

ppurk

[... s. MWAV/e-scan log-auswertung]
gibt's jemanden, der damit was anfangen kann und mir verraten kann, was nun zu tun ist?
cheers

**********

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sun Apr 01 17:37:53 2007 => *** File F:\temp\cs2\Adobe Creative Suite 2.0\Adobe Version Cue CS2\Data1.cab having Size Restriction ***. Filesize 86415 kb
Sun Apr 01 17:04:09 2007 => Virus Database Date: 3/31/2007
Sun Apr 01 17:07:44 2007 => Virus Database Date: 4/1/2007
Sun Apr 01 20:17:12 2007 => Virus Database Date: 4/1/2007
Sun Apr 01 20:27:26 2007 => Virus Database Date: 4/1/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Apr 01 17:09:17 2007 => System found infected with whenu.savenow Spyware/Adware (owacolors[1].css)! Action taken: Entries Removed.
Sun Apr 01 17:09:18 2007 => System found infected with whenu.savenow Spyware/Adware (owastyle[1].css)! Action taken: Entries Removed.
Sun Apr 01 17:09:19 2007 => System found infected with whenu.savenow Spyware/Adware (style30[1].css)! Action taken: Entries Removed.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Sun Apr 01 17:08:56 2007 => File C:\WINDOWS\system32\ovkhkymo.dll//Virtumonde//PE_Patch.UPX//UPX infected by "Trojan.Win32.BHO.g" Virus! Action Taken: File Deleted.
Sun Apr 01 17:39:58 2007 => File {} infected by "Exploit.HTML.Iframe.FileDownload" Virus! Action Taken: No Action Taken.
Sun Apr 01 17:40:20 2007 => File {} infected by "Exploit.HTML.Iframe.FileDownload" Virus! Action Taken: No Action Taken.
Sun Apr 01 18:33:11 2007 => File D:\????\ThunderMail\Trash.sbd\Trash//[From "???" <???@web.de>][Date Thu, 23 Sep 2004 23:09:36 +0200]/text//[From =?ISO-8859-1?Q?=22Matthias_K=F6nn=22?= <???@gmx.net>][Date Fri, 24 Sep 2004 13:12:33 +0200 (MEST)]/text//[From ???? infected by "Exploit.HTML.Iframe.FileDownload" Virus! Action Taken: No Action Taken.
Sun Apr 01 19:36:57 2007 => File F:\???\ThunderMail\Trash.sbd\Trash//[From "???" <??@web.de>][Date Thu, 23 Sep 2004 23:09:36 +0200]/text//[From =?ISO-8859-1?Q?=22??=F6nn=22?= <??@gmx.net>][Date Fri, 24 Sep 2004 13:12:33 +0200 (MEST)]/text//[From ??... infected by "Exploit.HTML.Iframe.FileDownload" Virus! Action Taken: No Action Taken.
Sun Apr 01 19:44:44 2007 => File {} infected by "Exploit.HTML.Iframe.FileDownload" Virus! Action Taken: No Action Taken.
Sun Apr 01 19:45:08 2007 => File {} infected by "Exploit.HTML.Iframe.FileDownload" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sun Apr 01 17:08:08 2007 => File C:\WINDOWS\system32\jkkkj.dll//Virtumonde//PE_Patch.UPX//UPX tagged as "not-a-virus:AdWare.Win32.Virtumonde.ic". Action Taken: File Deleted.
Sun Apr 01 17:08:10 2007 => File C:\WINDOWS\system32\wvuurrq.dll//Virtumonde//PE_Patch.UPX//UPX tagged as "not-a-virus:AdWare.Win32.Virtumonde.bq". Action Taken: File Deleted.
Sun Apr 01 17:10:05 2007 => File C:\Documents and Settings\Alessandro\Local Settings\Temporary Internet Files\Content.IE5\U7WDAJA1\lo1[2]//Virtumonde//PE_Patch.UPX//UPX tagged as "not-a-virus:AdWare.Win32.Virtumonde.ic". Action Taken: File Deleted.
Sun Apr 01 17:21:10 2007 => File C:\WINDOWS\system32\toeexvkt.dll//Virtumonde//PE_Patch.UPX//UPX tagged as "not-a-virus:AdWare.Win32.Virtumonde.ar". Action Taken: File Deleted.
Sun Apr 01 17:21:23 2007 => File C:\WINDOWS\system32\xxwwu.dll//Virtumonde//PE_Patch.UPX//UPX tagged as "not-a-virus:AdWare.Win32.Virtumonde.ic". Action Taken: File Deleted.
Sun Apr 01 17:29:30 2007 => File D:\RECYCLER\S-1-5-21-1275210071-920026266-1343024091-1003\Dd760\Mirc v6.1 Incl Keymaker Read Nfo Repack-Acme.zip/MIRC.v6.1.Incl.Keymaker.READ.NFO.REPACK-ACME/ac-mrc61.zip/mirc61.exe//data0001.bin tagged as "not-a-virus:Client-IRC.Win32.mIRC.61". No Action Taken.
Sun Apr 01 17:29:31 2007 => File D:\RECYCLER\S-1-5-21-1275210071-920026266-1343024091-1003\Dd760\mirc61.exe//data0001.bin tagged as "not-a-virus:Client-IRC.Win32.mIRC.61". No Action Taken.
Sun Apr 01 17:38:01 2007 => Scanning File F:\temp\cs2\CS2 Prem Content\Zugaben\Acrobat Pro\Test Files\Untagged.pdf
Sun Apr 01 18:15:02 2007 => File D:\???\ThunderMail\Inbox//[From ??? <???@web.de>][Date Tue, 02 Aug 2005 20:22:44 +0200]/text//[From "???" <???@gmx.de>][Date Thu, 4 Aug 2005 13:31:30 +0200 (MEST)]/text//[From "???" <???@gmx.de>][Date Mon,... tagged as "not-a-virus:AdWare.Win32.Casino.d". Action Taken: No Action Taken.
Sun Apr 01 18:32:51 2007 => File D:\???\ThunderMail\Trash//[From ???<AlexKrupp@web.de>][Date Tue, 02 Aug 2005 20:22:44 +0200]/text//[From "???" <???@gmx.de>][Date Sat, 23 Jul 2005 00:58:55 +0200 (MEST)]/text//[From ???@pernod-ricard-deutsch... tagged as "not-a-virus:AdWare.Win32.Casino.d". Action Taken: No Action Taken.
Sun Apr 01 18:45:21 2007 => File D:\RECYCLER\S-1-5-21-1275210071-920026266-1343024091-1003\Dd760\Mirc v6.1 Incl Keymaker Read Nfo Repack-Acme.zip/MIRC.v6.1.Incl.Keymaker.READ.NFO.REPACK-ACME/ac-mrc61.zip/mirc61.exe//data0001.bin tagged as "not-a-virus:Client-IRC.Win32.mIRC.61". No Action Taken.
Sun Apr 01 18:45:22 2007 => File D:\RECYCLER\S-1-5-21-1275210071-920026266-1343024091-1003\Dd760\mirc61.exe//data0001.bin tagged as "not-a-virus:Client-IRC.Win32.mIRC.61". No Action Taken.
Sun Apr 01 19:21:05 2007 => File F:\???\ThunderMail\Inbox//[From ??? <???@web.de>][Date Tue, 02 Aug 2005 20:22:44 +0200]/text//[From "???" <???@gmx.de>][Date Thu, 4 Aug 2005 13:31:30 +0200 (MEST)]/text//[From "???" <???@gmx.de>][Date Mon,... tagged as "not-a-virus:AdWare.Win32.Casino.d". Action Taken: No Action Taken.
Sun Apr 01 19:36:38 2007 => File F:\???\ThunderMail\Trash//[From ??? <???@web.de>][Date Tue, 02 Aug 2005 20:22:44 +0200]/text//[From "???" <???@gmx.de>][Date Sat, 23 Jul 2005 00:58:55 +0200 (MEST)]/text//[From ???@pernod-ricard-deutsch... tagged as "not-a-virus:AdWare.Win32.Casino.d". Action Taken: No Action Taken.
Sun Apr 01 20:14:53 2007 => Scanning File F:\temp\cs2\CS2 Prem Content\Zugaben\Acrobat Pro\Test Files\Untagged.pdf
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Apr 01 17:09:17 2007 => Offending file found: C:\DOCUME~1\ALESSA~1\LOCALS~1\TEMPOR~1\content.ie5\4zu3ujcb\OWACOL~1.CSS
Sun Apr 01 17:09:18 2007 => Offending file found: C:\DOCUME~1\ALESSA~1\LOCALS~1\TEMPOR~1\content.ie5\898xijup\OWASTY~1.CSS
Sun Apr 01 17:09:19 2007 => Offending file found: C:\DOCUME~1\ALESSA~1\LOCALS~1\TEMPOR~1\content.ie5\8xqta5qv\STYLE3~1.CSS
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sun Apr 01 17:09:24 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{afb6dfb0-db1f-11db-97a4-0040d03539ad} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

hm, oder bedeutet, dass ich keine antwort mehr bekommen, dass meine probleme behoben sind?:balla: