Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Vundo.gen wie löschen? (https://www.trojaner-board.de/51139-tr-vundo-gen-loeschen.html)

Key_Gun 28.03.2008 14:10
TR/Vundo.gen wie löschen?
 
Hallo,

ich werde seit einiger Zeit von einem TR/Vundo.gen Trojaner genervt. Avira AntiVir meldet sich mehrmals am Tag. Es handelt sich immer um 2 Dateien die in unter Eigene Dateien und System32 zu finden sind. Ich lass die Dateien immer löschen und das passiert auch, aber irgendwann meldet sich Avira AntiVir wieder.

Hier ein aktueller Hijackthis Log
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:47:54, on 28.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ArchiCrypt\Shredder 4\SecureDZoneService.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Wecker6\Wecker.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.daemonsearch.com/intl/
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: Wecker für Windows 6.lnk = C:\Programme\Wecker6\Wecker.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193413604937
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: SecureDZone Helper Service (SecureDZoneService) - Softwareentwicklung Remus - C:\Programme\ArchiCrypt\Shredder 4\SecureDZoneService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6666 bytes
In dem Log hab ich nichts Verdächtiges Gefunden, aber ich bin in dem Gebiet nur Leihe. Allerdings hatte ich in einem Vorigen Log eine Verdächtige Datei gefunden:
Code:
O2 - BHO: (no name) - {B3740027-0036-49BF-98E7-04F4F903D67B} - C:\WINDOWS\system32\vtuvuut.dll
O20 - Winlogon Notify: vtuvuut - C:\WINDOWS\SYSTEM32\vtuvuut.dll
Denn Log hab ich leider nicht mehr.
Die Datei exestiert noch, da ich sie nicht löschen konnte...

Ich hab sie bei VirusTotal hochgeladen. Der Bericht:
Code:
Datei ljjiggh.dll empfangen 2008.03.24 12:30:51 (CET)
Status: Beendet
Ergebnis: 4/32 (12.50%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        -        -        -
AntiVir                -        -        -
Authentium        -        -        -
Avast        -        -        -
AVG        -        -        -
BitDefender        -        -        -
CAT-QuickHeal        -        -        -
ClamAV        -        -        -
DrWeb        -        -        -
eSafe        -        -        Suspicious File
eTrust-Vet        -        -        -
Ewido        -        -        -
FileAdvisor        -        -        -
Fortinet        -        -        -
F-Prot        -        -        W32/Virtumonde.G.gen!Eldorado
F-Secure        -        -        -
Ikarus        -        -        -
Kaspersky        -        -        -
McAfee        -        -        -
Microsoft        -        -        Trojan:Win32/Vundo.gen!D
NOD32v2        -        -        -
Norman        -        -        -
Panda        -        -        Suspicious file
Prevx1        -        -        -
Rising        -        -        -
Sophos        -        -        -
Sunbelt        -        -        -
Symantec        -        -        -
TheHacker        -        -        -
VBA32        -        -        -
VirusBuster        -        -        -
Webwasher-Gateway        -        -        -
weitere Informationen
MD5: 1e034923cd555680d5c95034ab4a947d
SHA1: 2c59e56da0cb28636810e88c1fe4ee8675ad3198
SHA256: 5d2058dcb59c8a0601b4ee0f0befb92b7285d77e98b4d95e29f67df69d00a5e8
SHA512: 06ac317e567e014738491c7c6ba7daacdc9027bc3216d7e3af3c5ad4d8759278 87664a9f2e80644d0cd631bce054db8508899a5599d1c8bfbbb7f0fdaf5c5a1f
Meine Frage nun wie kann ich die Datei löschen und ist mein System noch anderweitig infiziert?
Hoffe jemand kann mit helfen und danke schon mal für jede Hilfe.

Sunny 28.03.2008 14:37
Hallo Key_Gun und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:



-- Rouge Spyware --

* Downloade RVAXO.exe von hier --> http://home.hetnet.nl/~stefsmeenk/RVAXO.exe
* Speichere es auf dem Desktop.
* starte die RVAXO.exe mit einem Doppelklick
* eventuell öffnet sich ein Uninstaller
* schliesse ihn nicht, lass das Programm laufen
* Starte deinen Rechner danach neu
* nach dem Neustart mach einen Doppelklick auf die RVAXO.exe
* ist sehr wichtig!
* das Logfile findest du hier: C:\RVAXO-results.log




CCleaner

Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.

Gehe auf den Button links oben "Cleaner", setze Häkchen unter Reiter "Windows"
(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").

Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".



ComboFix

-Lade dir das Tool hier herunter -> KLICK

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

Key_Gun 29.03.2008 16:20
Danke für die Hilfe. Hier der Log:
Code:
ComboFix 08-03-27.5 - ... 2008-03-29 13:57:53.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.121 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\...\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\orqss.ini
C:\WINDOWS\system32\orqss.ini2
C:\WINDOWS\system32\ssqro.dll
C:\WINDOWS\system32\vtuvuut.dll

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Services  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_npf


(((((((((((((((((((((((  Dateien erstellt von 2008-02-28 bis 2008-03-29  ))))))))))))))))))))))))))))))
.

2008-03-29 13:27 . 2008-03-29 13:27        <DIR>        d--------        C:\Programme\CCleaner
2008-03-27 20:09 . 2008-03-27 20:09        <DIR>        d--------        C:\Programme\Trend Micro
2008-03-27 13:54 . 2008-03-27 13:54        <DIR>        d--------        C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-03-26 02:01 . 2008-03-26 04:12        2,433        --a------        C:\test.spr
2008-03-24 23:04 . 2008-03-24 23:04        98,304        --a------        C:\WINDOWS\system32CmdLineExt.dll
2008-03-22 20:33 . 2008-03-22 20:33        <DIR>        d--------        C:\Programme\GameSpy Arcade
2008-03-22 16:37 . 2008-03-22 16:37        <DIR>        d--------        C:\WINDOWS\USB Vibration
2008-03-22 16:37 . 2008-03-22 16:37        <DIR>        d--------        C:\Programme\USB Vibration
2008-03-20 10:53 . 2008-03-20 10:53        <DIR>        d--------        C:\Programme\Animake
2008-03-20 01:24 . 2008-03-20 01:24        <DIR>        d--------        C:\Programme\Audacity
2008-03-19 17:16 . 2008-03-19 17:16        34        --a------        C:\WINDOWS\mswsyst.doc
2008-03-19 17:15 . 2008-03-29 14:07        <DIR>        d--------        C:\Programme\Wecker6
2008-03-19 17:15 . 2008-03-19 17:15        <DIR>        d--------        C:\Dokumente und Einstellungen\...\Anwendungsdaten\cbuenger
2008-03-19 17:15 . 2004-08-28 14:03        739,472        --a------        C:\WINDOWS\system32\sg20O.ocx
2008-03-19 17:15 . 2003-05-14 22:07        389,120        --a------        C:\WINDOWS\system32\actskn43.ocx
2008-03-19 17:15 . 2002-02-08 02:01        208,896        --a------        C:\WINDOWS\system32\cbPrinter.dll
2008-03-19 17:15 . 2004-03-26 11:36        122,880        --a------        C:\WINDOWS\system32\cbNet.dll
2008-03-19 17:15 . 2002-02-17 13:17        65,536        --a------        C:\WINDOWS\system32\CBXML.dll
2008-03-19 17:15 . 2002-01-11 01:09        57,344        --a------        C:\WINDOWS\system32\cbSysHTrck.dll
2008-03-19 17:15 . 2004-08-24 23:55        53,248        --a------        C:\WINDOWS\system32\cbvCalendar.dll
2008-03-19 17:15 . 2003-01-26 14:41        40,960        --a------        C:\WINDOWS\system32\SSubTmr6.dll
2008-03-19 17:15 . 2004-06-18 23:09        40,960        --a------        C:\WINDOWS\system32\CBDTPicker.dll
2008-03-18 16:57 . 2008-03-24 23:06        <DIR>        d--------        C:\Dokumente und Einstellungen\...\Anwendungsdaten\Petroglyph
2008-03-15 21:48 . 2008-03-15 21:50        <DIR>        d--------        C:\Programme\Winamp
2008-03-15 21:48 . 2008-03-15 21:52        <DIR>        d--------        C:\Dokumente und Einstellungen\...\Anwendungsdaten\Winamp
2008-03-15 21:36 . 2008-03-15 21:41        <DIR>        d--------        C:\Dokumente und Einstellungen\...\Anwendungsdaten\phonostar-Player
2008-03-15 21:31 . 2008-03-15 21:42        <DIR>        d--------        C:\Programme\iRaTe2
2008-03-15 21:29 . 2008-03-15 21:42        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Real
2008-03-15 21:29 . 2008-03-15 21:29        <DIR>        d--------        C:\My Music
2008-03-15 21:04 . 2008-03-15 21:04        <DIR>        d--------        C:\Dokumente und Einstellungen\...\Anwendungsdaten\dvdcss
2008-03-15 20:34 . 2008-03-15 20:34        <DIR>        d--------        C:\Programme\concept design
2008-03-15 20:34 . 2008-03-15 20:35        <DIR>        d--------        C:\Dokumente und Einstellungen\...\Anwendungsdaten\concept design
2008-03-15 20:34 . 2006-05-21 15:15        966,144        --a------        C:\WINDOWS\system32\NCTAudioInformation2.dll
2008-03-15 20:34 . 2006-05-21 15:15        877,568        --a------        C:\WINDOWS\system32\NCTAudioFile2.dll
2008-03-15 20:34 . 2006-05-21 15:15        634,880        --a------        C:\WINDOWS\system32\NCTAudioEditor2.dll
2008-03-15 20:34 . 2006-05-21 15:15        522,752        --a------        C:\WINDOWS\system32\NCTAudioTransform2.dll
2008-03-15 20:34 . 2006-05-21 15:15        467,968        --a------        C:\WINDOWS\system32\NCTAudioRecord2.dll
2008-03-15 20:34 . 2006-05-21 15:15        467,456        --a------        C:\WINDOWS\system32\NCTAudioPlayer2.dll
2008-03-15 20:34 . 2006-05-21 15:15        237,568        --a------        C:\WINDOWS\system32\lame_enc.dll
2008-03-12 17:53 . 2008-03-12 17:53        43,520        --a------        C:\WINDOWS\system32\CmdLineExt03.dll
2008-03-10 13:30 . 2008-03-10 13:30        31        --a------        C:\WINDOWS\idc.ini
2008-03-09 23:30 . 2008-03-09 23:30        <DIR>        d--h-----        C:\WINDOWS\PIF
2008-03-08 20:59 . 2008-03-24 18:58        69        --a------        C:\WINDOWS\NeroDigital.ini
2008-03-06 18:35 . 2008-03-06 18:38        <DIR>        d--------        C:\Imperialismus
2008-03-03 18:23 . 2008-03-03 18:33        <DIR>        d--------        C:\panzer3d
2008-03-03 18:21 . 2008-03-03 18:21        <DIR>        d--------        C:\Dokumente und Einstellungen\...\WINDOWS
2008-03-03 18:21 . 1996-02-08 18:21        284,160        --a------        C:\WINDOWS\unin0407.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-29 12:42        ---------        d-----w        C:\Dokumente und Einstellungen\...\Anwendungsdaten\OpenOffice.org2
2008-03-24 22:01        ---------        d-----w        C:\Programme\DAEMON Tools
2008-03-24 20:31        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-03-23 12:45        ---------        d-----w        C:\Programme\Java
2008-03-22 18:51        ---------        d-----w        C:\Programme\World of Warcraft
2008-03-18 23:45        ---------        d-----w        C:\Programme\Mozilla Thunderbird
2008-03-18 16:48        2,751,488        ----a-w        C:\WINDOWS\Internet Logs\xDB20.tmp
2008-03-11 05:58        ---------        d-----w        C:\Programme\eMule.de 0.48a v18
2008-03-09 20:28        ---------        d-----w        C:\Programme\ArtMoney
2008-03-04 19:58        2,442,240        ----a-w        C:\WINDOWS\Internet Logs\xDB1F.tmp
2008-03-04 13:31        139,264        ----a-w        C:\WINDOWS\War3Unin.exe
2008-03-03 17:38        4,271,616        ----a-w        C:\WINDOWS\Internet Logs\xDB1D.tmp
2008-03-03 17:38        2,691,072        ----a-w        C:\WINDOWS\Internet Logs\xDB1E.tmp
2008-02-27 21:15        ---------        d-----w        C:\Programme\Zuxxez
2008-02-23 17:11        ---------        d-----w        C:\Dokumente und Einstellungen\...\Anwendungsdaten\Nero
2008-02-23 17:06        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Nero
2008-02-23 17:01        ---------        d-----w        C:\Programme\Nero
2008-02-23 17:01        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-02-16 18:44        2,656,256        ----a-w        C:\WINDOWS\Internet Logs\xDB1C.tmp
2008-02-15 21:02        ---------        d-----w        C:\Programme\PantsOff
2008-02-15 16:31        ---------        d---a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-13 10:47        ---------        d-----w        C:\Programme\ICQ6
2008-02-12 19:11        ---------        d-----w        C:\Programme\Teamspeak2_RC2
2008-02-12 19:11        ---------        d-----w        C:\Dokumente und Einstellungen\...\Anwendungsdaten\teamspeak2
2008-02-09 18:56        ---------        d-----w        C:\Programme\Web Publish
2008-02-09 14:39        ---------        d-----w        C:\Programme\Democracy
2008-02-08 19:53        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-02-07 14:03        ---------        d-----w        C:\Programme\Google
2008-02-06 13:34        ---------        d-----w        C:\Programme\Secret Weapons Over Normandy
2008-02-06 11:50        ---------        d-----w        C:\Programme\Smart Projects
2008-02-04 12:52        ---------        d-----w        C:\Programme\Giants
2008-02-02 18:55        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-02-02 18:52        ---------        d-----w        C:\Programme\Microsoft Works
2008-02-02 18:48        ---------        d-----w        C:\Programme\Microsoft.NET
2008-01-30 23:11        ---------        d-----w        C:\Dokumente und Einstellungen\...\Anwendungsdaten\Thunderbird
2008-01-30 22:34        ---------        d-----w        C:\Programme\rondomedia
2008-01-30 16:27        ---------        d-----w        C:\Dokumente und Einstellungen\...\Anwendungsdaten\Publish Providers
2008-01-30 16:26        ---------        d-----w        C:\Dokumente und Einstellungen\...\Anwendungsdaten\Sony
2008-01-30 16:19        ---------        d-----w        C:\Programme\Microsoft SQL Server
2008-01-30 16:18        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
2008-01-30 16:16        ---------        d-----w        C:\Programme\Vstplugins
2008-01-30 16:15        ---------        d-----w        C:\Programme\Sony
2008-01-30 16:14        ---------        d-----w        C:\Programme\Sony Setup
2008-01-30 15:52        ---------        d-----w        C:\Programme\DivX
2008-01-24 22:04        2,808,832        ----a-w        C:\WINDOWS\Internet Logs\xDB1B.tmp
2008-01-16 16:51        0        ----a-w        C:\Programme\Neu WorldMaster Document.wor
2008-01-13 21:52        1,912,320        ----a-w        C:\WINDOWS\Internet Logs\xDB1A.tmp
2008-01-13 00:22        2,774,016        ----a-w        C:\WINDOWS\Internet Logs\xDB19.tmp
2008-01-05 11:38        2,387,373        ----a-w        C:\WINDOWS\Internet Logs\tvDebug.zip
2008-01-04 23:55        2,751,488        ----a-w        C:\WINDOWS\Internet Logs\xDB18.tmp
2007-12-30 18:49        2,717,696        ----a-w        C:\WINDOWS\Internet Logs\xDB13.tmp
2007-12-30 18:49        2,341,888        ----a-w        C:\WINDOWS\Internet Logs\xDB14.tmp
2007-12-30 13:29        2,341,376        ----a-w        C:\WINDOWS\Internet Logs\xDB12.tmp
2007-12-29 01:11        1,597,952        ----a-w        C:\WINDOWS\Internet Logs\xDB11.tmp
2007-12-27 23:46        2,225,152        ----a-w        C:\WINDOWS\Internet Logs\xDB10.tmp
2007-12-26 23:11        1,691,136        ----a-w        C:\WINDOWS\Internet Logs\xDBF.tmp
2007-12-26 00:20        2,659,840        ----a-w        C:\WINDOWS\Internet Logs\xDBE.tmp
2007-12-25 11:42        16,562,682        ----a-w        C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_12_25_01_13_04_full.dmp.zip
2007-12-25 11:42        111,743        ----a-w        C:\WINDOWS\Internet Logs\vsmon_2nd_2007_12_25_01_12_30_small.dmp.zip
2007-12-24 15:22        666,624        ----a-w        C:\WINDOWS\Internet Logs\xDBD.tmp
2007-12-24 00:40        2,444,288        ----a-w        C:\WINDOWS\Internet Logs\xDBC.tmp
2007-12-22 20:19        1,999,872        ----a-w        C:\WINDOWS\Internet Logs\xDBB.tmp
2007-12-21 23:16        4,079,104        ----a-w        C:\WINDOWS\Internet Logs\xDB9.tmp
2007-12-21 23:16        2,164,736        ----a-w        C:\WINDOWS\Internet Logs\xDBA.tmp
2007-11-26 20:53        2,760,192        ----a-w        C:\WINDOWS\Internet Logs\xDB7.tmp
2007-11-26 20:53        2,016,768        ----a-w        C:\WINDOWS\Internet Logs\xDB8.tmp
2007-11-21 19:35        3,077,632        ----a-w        C:\WINDOWS\Internet Logs\xDB5.tmp
2007-11-21 19:35        1,960,960        ----a-w        C:\WINDOWS\Internet Logs\xDB6.tmp
2007-11-07 20:01        1,927,680        ----a-w        C:\WINDOWS\Internet Logs\xDB4.tmp
2007-10-27 23:24        55,808        ----a-w        C:\WINDOWS\Internet Logs\xDB3.tmp
2007-10-27 21:30        148,992        ----a-w        C:\WINDOWS\Internet Logs\xDB2.tmp
2007-10-27 15:28        1,633,792        ----a-w        C:\WINDOWS\Internet Logs\xDB1.tmp
2006-12-31 14:17        211,968        ----a-w        C:\WINDOWS\Internet Logs\xDB16.tmp
2006-12-31 14:17        2,342,912        ----a-w        C:\WINDOWS\Internet Logs\xDB17.tmp
2004-11-16 01:22        969,728        ----a-w        C:\WINDOWS\Internet Logs\xDB15.tmp
2007-10-28 17:09        1,788,448        --sha-w        C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-28 17:09        193,312        --sha-w        C:\WINDOWS\system32\drivers\fidbox2.dat
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-09-18 15:16 171464]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-09-20 15:35 202024]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 15:48 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\ATI-CPanel\atiptaxx.exe" [2003-02-06 20:26 315392]
"SoundMan"="SOUNDMAN.EXE" [2004-04-28 16:19 66048 C:\WINDOWS\SOUNDMAN.EXE]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 11:50 155648]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02 919280]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 16:31 1122304]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 16:14 497152]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41 45056]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-31 13:28 249896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 09:51 1836328]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-15 23:54 37376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"M:\\Spiele\\Die Schlacht um Mittelerde II\\game.dat"=
"M:\\Spiele\\Empire Earth III\\EE3.exe"=

R2 SecureDZoneService;SecureDZone Helper Service;C:\Programme\ArchiCrypt\Shredder 4\SecureDZoneService.exe [2007-09-03 10:10]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-03-28 17:45:03 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-03-14 06:34:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-29 14:11:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Wecker6\Wecker.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-29 14:18:09 - machine was rebooted
ComboFix-quarantined-files.txt  2008-03-29 13:18:04
              16 Verzeichnis(se),  4,455,489,536 Bytes frei
              19 Verzeichnis(se),  4,369,928,192 Bytes frei
.
2008-02-13 21:07:19        --- E O F ---
is das damit nun erledigt?

Sunny 29.03.2008 16:24
Hast du das hier auch durchgeführt?


-- Rouge Spyware --

* Downloade RVAXO.exe von hier --> http://home.hetnet.nl/~stefsmeenk/RVAXO.exe
* Speichere es auf dem Desktop.
* starte die RVAXO.exe mit einem Doppelklick
* eventuell öffnet sich ein Uninstaller
* schliesse ihn nicht, lass das Programm laufen
* Starte deinen Rechner danach neu
* nach dem Neustart mach einen Doppelklick auf die RVAXO.exe
* ist sehr wichtig!
* das Logfile findest du hier: C:\RVAXO-results.log


Wenn ja dann fehlt mir noch der results.log.. ;)

Key_Gun 29.03.2008 20:23
Ja ich hab es gemacht, aber ich hab den Log vergessen. Jetzt hat es CCleaner wohl gelöscht. Hab es jetzt nochmal gemacht, aber ein der log ist nicht da. Es sind zwei Registrierungdateien da (ssodl und sts) und eine Datei die nicht öffnen kann (RVAXO3).
Soll ich es nochmal machen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131