Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner - vor allem TR/Vundo.Gen (https://www.trojaner-board.de/45535-trojaner-allem-tr-vundo-gen.html)

Hilde71 06.11.2007 19:19
Trojaner - vor allem TR/Vundo.Gen
 
Hallo Leute,

ich habe mit verschiedenen Trojanern Probleme. Vor allem aber lässt sich TR/Vundo.Gen nicht löschen. Ich habe schon einiges hier im Forum gelesen und auch ausprobiert - VundoFix,SpyBot, Avenger usw. - aber ich kriege es nicht hin.
Könnt ihr Euch bitte einmal mein HiJackThis Log-File ansehen?

Im voraus schon mal vielen Dank!

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:09:10, on 06.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ZyXEL Communications Corporation\ZyXEL G-220 Utility\ZyXEL_G-220_GUI.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\cnmsmyd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJack\Pruefung.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {89032A20-4370-487E-AB80-2251EC374249} - C:\WINDOWS\system32\ddcyabx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {DDC76F53-51B2-493A-BD36-6199CAE6AA58} - C:\WINDOWS\system32\awvtr.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: {efd3bacf-4dd0-08ab-6aa4-ed666861859e} - {e9581686-66de-4aa6-ba80-0dd4fcab3dfe} - (no file)
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [1e29144a] rundll32.exe "C:\WINDOWS\system32\vktfphjq.dll",b
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\Run: [DXDllRegExe] C:\WINDOWS\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\dxdllreg.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_2] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmnetmgr.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_3] C:\WINDOWS\System32\regsvr32 /s /u "C:\WINDOWS\System32\wmv8dmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_4] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmvdmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_5] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmvdmoe2.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_6] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmadmoe.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_7] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmspdmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_8] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmspdmoe.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_9] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmsdmoe.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_10] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmsdmoe2.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_20] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmadmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_21] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\mpg4dmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_22] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\mp43dmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_23] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\mp4sdmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_24] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmsdmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_30] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\laprxy.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_31] "C:\WINDOWS\System32\logagent.exe" /RegServer
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_32] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmvcore.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_1] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\drmstor.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_2] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\drmclien.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_4] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\drmv2clt.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_5] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\blackbox.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_6] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\msnetobj.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_2] C:\WINDOWS\System32\regsvr32 /s C:\WINDOWS\System32\wmp.dll
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_8] C:\WINDOWS\System32\regsvr32 /s C:\WINDOWS\System32\wmpshell.dll
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_9] C:\WINDOWS\System32\regsvr32 /s C:\WINDOWS\System32\wmpasf.dll
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_10] C:\WINDOWS\System32\regsvr32 /s C:\WINDOWS\System32\wmpdxm.dll
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_11] C:\WINDOWS\System32\regsvr32 /s "C:\Programme\Windows Media Player\mpvis.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMDM_Install_7] C:\WINDOWS\System32\regsvr32 /s C:\WINDOWS\System32\mspmsnsv.dll
O4 - HKLM\..\RunOnce: [VundoFix] "C:\Dokumente und Einstellungen\Hilde\Desktop\Downloads\vundofix.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Programme\Mozilla Firefox\plugins\GetFlash.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ZyXEL G-220 Utility GUI.lnk = ?
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{09890143-47A0-48B3-90DE-37860796B869}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{32FDC49D-80B3-4CDA-AB0F-12BD157C7B0A}: NameServer = 192.168.1.1
O20 - Winlogon Notify: ddcyabx - C:\WINDOWS\SYSTEM32\ddcyabx.dll
O20 - Winlogon Notify: winhdn32 - C:\WINDOWS\SYSTEM32\winhdn32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 10172 bytes

Sunny 06.11.2007 19:26
http://www.smiliegenerator.de/s33/smilies-25934.png

Als erstes brauchen wir mehr Informationen zu deinem System, denn der Rechner ist sehr stark verseucht, eine Bereinigung wird sicherlich nicht sehr sinnvoll sein, arbeite trotzdem folgende Anleitungen ab:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\System32\wmnetmgr.dll
C:\WINDOWS\system32\vktfphjq.dll
C:\WINDOWS\system32\ddcyabx.dll
C:\WINDOWS\System32\mspmsnsv.dll
C:\WINDOWS\SYSTEM32\winhdn32.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

FuFuCaT 06.11.2007 19:39
Hi, habe das selbe problem

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Hilde71 07.11.2007 10:20
Also hier die Auswertung von Virustotal

Code:
Datei wmnetmgr.dll empfangen 2007.11.07 09:43:49 (CET)

AhnLab-V3        2007.11.7.0        2007.11.07        -
AntiVir        7.6.0.34        2007.11.07        -
Authentium        4.93.8        2007.11.05        -
Avast        4.7.1074.0        2007.11.06        -
AVG        7.5.0.503        2007.11.06        -
BitDefender        7.2        2007.11.07        -
CAT-QuickHeal        9.00        2007.11.06        -
ClamAV        0.91.2        2007.11.07        -
DrWeb        4.44.0.09170        2007.11.07        -
eSafe        7.0.15.0        2007.11.06        -
eTrust-Vet        31.2.5276        2007.11.07        -
Ewido        4.0        2007.11.06        -
FileAdvisor        1        2007.11.07        -
Fortinet        3.11.0.0        2007.10.19        -
F-Prot        4.4.2.54        2007.11.07        -
F-Secure        6.70.13030.0        2007.11.07        -
Ikarus        T3.1.1.12        2007.11.07        -
Kaspersky        7.0.0.125        2007.11.07        -
McAfee        5157        2007.11.06        -
Microsoft        1.3007        2007.11.07        -
NOD32v2        2642        2007.11.06        -
Norman        5.80.02        2007.11.06        -
Panda        9.0.0.4        2007.11.06        -
Prevx1        V2        2007.11.07        -
Rising        20.17.20.00        2007.11.07        -
Sophos        4.23.0        2007.11.07        -
Sunbelt        2.2.907.0        2007.11.06        -
Symantec        10        2007.11.07        -
TheHacker        6.2.9.118        2007.11.06        -
VBA32        3.12.2.4        2007.11.06        -
VirusBuster        4.3.26:9        2007.11.06        -
Webwasher-Gateway        6.0.1        2007.11.07        -
weitere Informationen
File size: 1050624 bytes
MD5: aac654f0fb86ef9ba67ca5d890b119d9
SHA1: 6aea5d132225d77de2399f054fe8ca0a88b9cb1c
Code:
Datei vktfphjq.dll empfangen 2007.11.07 09:55:01 (CET)

Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2007.11.7.0        2007.11.07        -
AntiVir        7.6.0.34        2007.11.07        TR/Dldr.ConHook.Gen
Authentium        4.93.8        2007.11.05        -
Avast        4.7.1074.0        2007.11.06        -
AVG        7.5.0.503        2007.11.06        Obfustat.VLU
BitDefender        7.2        2007.11.07        -
CAT-QuickHeal        9.00        2007.11.06        -
ClamAV        0.91.2        2007.11.07        -
DrWeb        4.44.0.09170        2007.11.07        -
eSafe        7.0.15.0        2007.11.06        -
eTrust-Vet        31.2.5276        2007.11.07        Win32/Vundo.GN
Ewido        4.0        2007.11.06        -
FileAdvisor        1        2007.11.07        -
Fortinet        3.11.0.0        2007.10.19        -
F-Prot        4.4.2.54        2007.11.07        -
F-Secure        6.70.13030.0        2007.11.07        -
Ikarus        T3.1.1.12        2007.11.07        -
Kaspersky        7.0.0.125        2007.11.07        -
McAfee        5157        2007.11.06        -
Microsoft        1.3007        2007.11.07        -
NOD32v2        2642        2007.11.06        -
Norman        5.80.02        2007.11.06        -
Panda        9.0.0.4        2007.11.06        Suspicious file
Prevx1        V2        2007.11.07        Trojan.Zlob
Rising        20.17.20.00        2007.11.07        -
Sophos        4.23.0        2007.11.07        -
Sunbelt        2.2.907.0        2007.11.06        -
Symantec        10        2007.11.07        -
TheHacker        6.2.9.118        2007.11.06        -
VBA32        3.12.2.4        2007.11.06        -
VirusBuster        4.3.26:9        2007.11.06        -
Webwasher-Gateway        6.0.1        2007.11.07        Trojan.Dldr.ConHook.Gen
weitere Informationen
File size: 87616 bytes
MD5: 9936ee2a31cb01254e56751d17e89e54
SHA1: f1886f9d6fefdb74f2db2d6f92ce70416f5e148a
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=9564BD9A40409FAA56BE01163499BD0088F2E5E6
Beim hochladen der Datei "C:\WINDOWS\system32\ddcyabx.dll" schlägt mein Antivir sofort Alarm und meldet dass es sich bei dieser Datei um den Trojaner TR/Agent.36864.18 handelt.
Virustotal meldet folgendes
Code:
0 bytes size received / Se ha recibido un archivo vacio
Code:
Datei mspmsnsv.dll empfangen 2007.11.07 10:05:39 (CET)

Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2007.11.7.1        2007.11.07        -
AntiVir        7.6.0.34        2007.11.07        -
Authentium        4.93.8        2007.11.05        -
Avast        4.7.1074.0        2007.11.06        -
AVG        7.5.0.503        2007.11.06        -
BitDefender        7.2        2007.11.07        -
CAT-QuickHeal        9.00        2007.11.06        -
ClamAV        0.91.2        2007.11.07        -
DrWeb        4.44.0.09170        2007.11.07        -
eSafe        7.0.15.0        2007.11.06        -
eTrust-Vet        31.2.5276        2007.11.07        -
Ewido        4.0        2007.11.06        -
FileAdvisor        1        2007.11.07        -
Fortinet        3.11.0.0        2007.10.19        -
F-Prot        4.4.2.54        2007.11.07        -
F-Secure        6.70.13030.0        2007.11.07        -
Ikarus        T3.1.1.12        2007.11.07        -
Kaspersky        7.0.0.125        2007.11.07        -
McAfee        5157        2007.11.06        -
Microsoft        1.3007        2007.11.07        -
NOD32v2        2642        2007.11.06        -
Norman        5.80.02        2007.11.06        -
Panda        9.0.0.4        2007.11.06        -
Prevx1        V2        2007.11.07        -
Rising        20.17.21.00        2007.11.07        -
Sophos        4.23.0        2007.11.07        -
Sunbelt        2.2.907.0        2007.11.06        -
Symantec        10        2007.11.07        -
TheHacker        6.2.9.118        2007.11.06        -
VBA32        3.12.2.4        2007.11.06        -
VirusBuster        4.3.26:9        2007.11.06        -
Webwasher-Gateway        6.0.1        2007.11.07        -
weitere Informationen
File size: 52736 bytes
MD5: d68cc4ebf7b03fd770d5962295ad814e
SHA1: 3ce7a2a6a536ec9f15524556b0cdceaa35142fca
Beim hochladen der Datei "C:\WINDOWS\SYSTEM32\winhdn32.dll" schlägt mein Antivir sofort Alarm und meldet dass es sich bei dieser Datei um den Trojaner TR/Crypt.PEC2X.Gen handelt.
Virustotal meldet folgendes
Code:
0 bytes size received / Se ha recibido un archivo vacio

toby09 07.11.2007 15:33
Bei mir ist es des gleiche wie bei der hilde!

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Hilde71 09.11.2007 09:42
Also ich habe nun doch einige Dateien mit Avenger löschen können. Mein Antivir zeigt nun keine Funde mehr an und mein System läuft auch stabil.

Sicherheitshalber noch mal das neueste HiJack Log-File;

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:33:54, on 09.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ZyXEL Communications Corporation\ZyXEL G-220 Utility\ZyXEL_G-220_GUI.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
       
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJack\Pruefung.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {89032A20-4370-487E-AB80-2251EC374249} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {B46BC10A-C978-4BE3-9BBB-08F307ACD644} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: {efd3bacf-4dd0-08ab-6aa4-ed666861859e} - {e9581686-66de-4aa6-ba80-0dd4fcab3dfe} - (no file)
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\Run: [DXDllRegExe] C:\WINDOWS\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\dxdllreg.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [fqthgktq] C:\spvbriiq.bat
O4 - HKLM\..\Run: [yymvnsjl] C:\poxsrcgb.bat
O4 - HKLM\..\Run: [kxxhxvln] C:\jgpayhkb.bat
O4 - HKLM\..\Run: [tasyyugq] C:\nmeahsjn.bat
O4 - HKLM\..\Run: [obbyiaet] C:\hywgdmgk.bat
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_2] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmnetmgr.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_3] C:\WINDOWS\System32\regsvr32 /s /u "C:\WINDOWS\System32\wmv8dmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_4] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmvdmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_5] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmvdmoe2.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_6] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmadmoe.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_7] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmspdmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_8] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmspdmoe.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_9] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmsdmoe.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_10] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmsdmoe2.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_20] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmadmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_21] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\mpg4dmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_22] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\mp43dmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_23] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\mp4sdmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_24] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmsdmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_30] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\laprxy.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_31] "C:\WINDOWS\System32\logagent.exe" /RegServer
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_32] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\wmvcore.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_1] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\drmstor.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_2] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\drmclien.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_4] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\drmv2clt.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_5] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\blackbox.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_6] C:\WINDOWS\System32\regsvr32 /s "C:\WINDOWS\System32\msnetobj.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_2] C:\WINDOWS\System32\regsvr32 /s C:\WINDOWS\System32\wmp.dll
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_8] C:\WINDOWS\System32\regsvr32 /s C:\WINDOWS\System32\wmpshell.dll
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_9] C:\WINDOWS\System32\regsvr32 /s C:\WINDOWS\System32\wmpasf.dll
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_10] C:\WINDOWS\System32\regsvr32 /s C:\WINDOWS\System32\wmpdxm.dll
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_11] C:\WINDOWS\System32\regsvr32 /s "C:\Programme\Windows Media Player\mpvis.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMDM_Install_7] C:\WINDOWS\System32\regsvr32 /s C:\WINDOWS\System32\mspmsnsv.dll
O4 - HKLM\..\RunOnce: [VundoFix] "C:\Dokumente und Einstellungen\Hilde\Desktop\Downloads\vundofix.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Programme\Mozilla Firefox\plugins\GetFlash.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ZyXEL G-220 Utility GUI.lnk = ?
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{09890143-47A0-48B3-90DE-37860796B869}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{32FDC49D-80B3-4CDA-AB0F-12BD157C7B0A}: NameServer = 192.168.1.1
O20 - Winlogon Notify: ddcyabx - ddcyabx.dll (file missing)
O20 - Winlogon Notify: winhdn32 - winhdn32.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 10123 bytes


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131