Trojaner-Board - Vundo! GBR

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Vundo! GBR - Hilfe (https://www.trojaner-board.de/73471-vundo-gbr-hilfe.html)

Vundo! GBR - Hilfe

Hallo Leute, ich sitz hier am Firmenrechner und hab mit da irgendeinen Mist geholt..............wäre super, wenn ich da von euch mal ein bißchen Hilfe bekommen könnte......ich führe unten mal ein bißchen was zur Info auf.....ich hoffe das reicht.......

Betriebssystemname Microsoft Windows XP Professional
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname **-**
Systemhersteller lynxpc
Systemmodell DG31PR
Systemtyp X86-basierter PC
Prozessor x86 Family 6 Model 23 Stepping 6 GenuineIntel ~2533 Mhz
BIOS-Version/-Datum Intel Corp. PRG3110H.86A.0053.2008.0715.1301, 15.07.2008
SMBIOS-Version 2.4
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "5.1.2600.xy12 (xpsp.080413-2xy1)"
Benutzername xy
Zeitzone Westeuropäische Normalzeit
Gesamter realer Speicher 2.048,00 MB
Verfügbarer realer Speicher 1,15 GB
Gesamter virtueller Speicher 2,00 GB
Verfügbarer virtueller Speicher 1,96 GB
Größe der Auslagerungsdatei 3,85 GB
Auslagerungsdatei C:\pagefile.sys

LOGFILE:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:05:03, on 25.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7871b900-5566-4ccc-b585-0dff311f27ad} - C:\WINDOWS\system32\sinodisi.dll (file missing)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [gipoweleru] Rundll32.exe "C:\WINDOWS\system32\zepulabe.dll",s
O4 - HKLM\..\Run: [CPM03543d69] Rundll32.exe "c:\windows\system32\vehuyafa.dll",a
O4 - HKLM\..\Run: [00670ef5] rundll32.exe "C:\WINDOWS\system32\lipoyiya.dll",b
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [gipoweleru] Rundll32.exe "C:\WINDOWS\system32\zepulabe.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1227269770557
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ARGUS.local
O17 - HKLM\Software\..\Telephony: DomainName = ARGUS.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ARGUS.local
O20 - AppInit_DLLs: c:\windows\system32\hafedeku.dll C:\WINDOWS\system32\hurasivi.dll c:\windows\system32\sosilore.dll c:\windows\system32\vehuyafa.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\vehuyafa.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\vehuyafa.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7864 bytes

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2176
Windows 5.1.2600 Service Pack 3

25.05.2009 13:22:23
mbam-log-2009-05-25 (13-22-17).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 140279
Laufzeit: 25 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 0
Infizierte Dateien: 31

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\lipoyiya.dll (Trojan.Vundo.H) -> No action taken.
c:\WINDOWS\system32\vehuyafa.dll (Trojan.Vundo.H) -> No action taken.
c:\WINDOWS\system32\hafedeku.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\hurasivi.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7871b900-5566-4ccc-b585-0dff311f27ad} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7871b900-5566-4ccc-b585-0dff311f27ad} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gipoweleru (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm03543d69 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\00670ef5 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\vehuyafa.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\hafedeku.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo) -> Data: c:\windows\system32\hurasivi.dll -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\hurasivi.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\vehuyafa.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\lipoyiya.dll (Trojan.Vundo.H) -> No action taken.
c:\WINDOWS\system32\hafedeku.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\fusokise.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\futonobe.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\majisemi.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\net.net (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\nozefovo.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rijaroti.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\roligudo.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tudekoba.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tuhiyedo.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\desufutu.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\dorizala.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\hajutuki.dll.tmp (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\toyebiyu.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\wikufalu.dll.tmp (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jijujige.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\bofowaru.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\budofeya.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\zedaduwu.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\zumuzazo.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\kunologa.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\layezefu.dll.tmp (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\lepefihi.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\wotafomo.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\saruvaje.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\difizavu.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XAG8LAA4\logo[1].htm (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YKCI5WIO\logo[1].htm (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\hurasivi.dll (Trojan.Vundo) -> No action taken.

:hallo:

Wurden die Funde von Malwarebytes gelöscht?
wenn nein,bitte noch einmal laufen lassen

Schritt 2

Systemscan mit OtViewIt

Bitte lade OtViewIt von OldTimer herunter und speichere das Programm auf Deinem Desktop.

Schließe alle Anwendungen inkl. Browser.
Mache während des Scans nichts anderes an dem Rechner.
Starte das Programm durch einen Doppelklick auf die OTViewIt.exe.
Mache einen Haken bei "Scan All Users".
Klicke auf den Button "Run Scan" links oben, um die Untersuchung zu starten
(bitte ohne Anweisung keine Änderungen der Einstellungen vornehmen).
Das Programm wird einige wichtige Bereiche Deines Systems prüfen und zwei Berichte erstellen.
Lasse das Programm in Ruhe scannen, bis es fertig ist.
Wenn der Scan durchgeführt ist (Scan complete!), öffnet sich der Editor mit einem Logfile.
Die Logfiles werden unter
C:\Dokumente und Einstellungen\<Benutzername>\Desktop\OtViewIt.Txt und
C:\Dokumente und Einstellungen\<Benutzername>\Desktop\Extras.Txt gespeichert.
Poste die Logfile in Code-Tags hier in den Thread.

Hey,

ich nochmals den Systemscan mit Maleware gemacht....Der hat nichts mehr gefunden.
Danke trotzdem....Ich hoffe da kommt jetzt auch nichts mehr nach!"