TR/Vundo.GJ (verzweifelt :( hilfe)
 

guten tag,

ich bin neu hier und vielleicht mache ich etwas falsch, aber ich geb mir mal mühe und mal schauen was da rauskommt :)

ich habe letzte woche einen virus aufgefangen, hab aber keinen blassen schimmer woher. jedenfalls sagt mein antivir ständig, dass ich ein virus habe, und zwar den "TR/Vundo.GJ". Ich habe die ganze zeit versucht das alleine hinzubiegen, doch konnte ich ihn nie löschen, deswegen wende ich mich nun an euch.

ich habe antivir mal durchlaufen lassen, hier ist der report:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 4. Mai 2008 11:23

Es wird nach 1248213 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: APE

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 9.4.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 26.4.2008 17:56:28
AVSCAN.DLL : 8.1.1.0 57601 Bytes 26.4.2008 17:56:28
LUKE.DLL : 8.1.2.9 151809 Bytes 26.4.2008 17:56:29
LUKERES.DLL : 8.1.2.0 12545 Bytes 26.4.2008 17:56:29
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 17:45:32
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 7.3.2008 17:36:44
ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22.4.2008 17:56:29
ANTIVIR3.VDF : 7.0.3.243 276992 Bytes 2.5.2008 22:53:54
Engineversion : 8.1.0.37
AEVDF.DLL : 8.1.0.5 102772 Bytes 26.4.2008 17:56:29
AESCRIPT.DLL : 8.1.0.28 233851 Bytes 3.5.2008 22:53:57
AESCN.DLL : 8.1.0.15 119157 Bytes 3.5.2008 22:53:56
AERDL.DLL : 8.1.0.20 418165 Bytes 26.4.2008 17:56:29
AEPACK.DLL : 8.1.1.4 364918 Bytes 3.5.2008 22:53:56
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 26.4.2008 17:56:29
AEHEUR.DLL : 8.1.0.21 1196407 Bytes 3.5.2008 22:53:55
AEHELP.DLL : 8.1.0.14 115063 Bytes 26.4.2008 17:56:29
AEGEN.DLL : 8.1.0.18 299381 Bytes 26.4.2008 17:56:29
AEEMU.DLL : 8.1.0.5 430450 Bytes 26.4.2008 17:56:29
AECORE.DLL : 8.1.0.27 168310 Bytes 26.4.2008 17:56:29
AVWINLL.DLL : 1.0.0.7 14593 Bytes 26.4.2008 17:56:28
AVPREF.DLL : 8.0.0.1 25857 Bytes 26.4.2008 17:56:28
AVREP.DLL : 7.0.0.1 155688 Bytes 16.4.2007 12:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 26.4.2008 17:56:28
AVARKT.DLL : 1.0.0.23 307457 Bytes 26.4.2008 17:56:28
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 26.4.2008 17:56:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 26.4.2008 17:56:29
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 26.4.2008 17:56:29
NETNT.DLL : 8.0.0.1 7937 Bytes 26.4.2008 17:56:29
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 26.4.2008 17:56:21
RCTEXT.DLL : 8.0.32.0 86273 Bytes 26.4.2008 17:56:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 4. Mai 2008 11:23

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sbrowser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ObjectDock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WATCH.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OrbTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'steam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DUMeter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogiTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FxSvr2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVCOMSX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mixer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\qoMfFuTL.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.GJ
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG]

Die Registry wurde durchsucht ( '31' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <The Chimp>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\qoMfFuTL.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.GJ
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG]
C:\WINDOWS\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <The Ape>
Beginne mit der Suche in 'E:\' <The Monkey>


Ende des Suchlaufs: Sonntag, 4. Mai 2008 12:47
Benötigte Zeit: 1:24:12 min

Der Suchlauf wurde vollständig durchgeführt.

6844 Verzeichnisse wurden überprüft
258390 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
258388 Dateien ohne Befall
1997 Archive wurden durchsucht
4 Warnungen
0 Hinweise





>>> C:\WINDOWS\system32\qoMfFuTL.dll <<< <-- das ist er



vielleicht ist ein hijackthis log auch hilfreich:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:50:37, on 04.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\programme\steam\steam.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\SlimBrowser\sbrowser.exe
C:\Dokumente und Einstellungen\TheApe\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll (file missing)
O2 - BHO: (no name) - {F50B3F5E-856E-4757-9BB1-B35D46CA7719} - C:\WINDOWS\system32\qoMfFuTL.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: qoMfFuTL - C:\WINDOWS\SYSTEM32\qoMfFuTL.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 7283 bytes




habe versucht diesen virus mit

vundifix zu löschen --> negativ, dieses programm hat ihn nicht mal gefunden!
antivir zu löschen --> negativ, konnte er nicht
adaware 2008 zu löschen --> negativ, konnte er wie antivir auch nicht
avenger zu löschen --> negativ, hat nicht so geklappt wie es beschrieben wurde. vielleicht hab ich was falsches reingeschrieben, glaub cih aber weniger.


bitte helft mir. ich bin schon am verzweifelen :(


danke im vorraus

ok hab die datei wie du gesagt hast bei virustotal scannen lassen und war verblüfft was es alles gefunden hat. wusste gar nicht dass eine einzelne dll datei so viele viren beinhalten kann ^^

jedenfalls ist hier der report von virustotal:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.3.0 2008.05.02 Win-Trojan/Vundo.39936.G
AntiVir 7.8.0.11 2008.05.02 TR/Vundo.GJ
Authentium 4.93.8 2008.05.02 -
Avast 4.8.1169.0 2008.05.04 Win32:TratBHO
AVG 7.5.0.516 2008.05.03 -
BitDefender 7.2 2008.05.04 Trojan.Vundo.EIK
CAT-QuickHeal 9.50 2008.05.03 AdWare.Virtumonde.qpf (Not a Virus)
ClamAV 0.92.1 2008.05.04 Trojan.Vundo-2554
DrWeb 4.44.0.09170 2008.05.04 Trojan.Virtumod.287
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5755 2008.05.03 Win32/Chisyne.LX
Ewido 4.0 2008.05.04 -
F-Prot 4.4.2.54 2008.05.04 -
F-Secure 6.70.13260.0 2008.05.04 Packed.Win32.Monder.gen
Fortinet 3.14.0.0 2008.05.04 Adware/Virtum
Ikarus T3.1.1.26 2008.05.04 Trojan.Vundo.GJ
Kaspersky 7.0.0.125 2008.05.04 not-a-virus:AdWare.Win32.Virtumonde.qpf
McAfee 5287 2008.05.02 vundo
Microsoft 1.3408 2008.04.22 Trojan:Win32/Vundo.gen!D
NOD32v2 3072 2008.05.03 Win32/Adware.Virtumonde
Norman 5.80.02 2008.05.02 Vundo.gen167
Panda 9.0.0.4 2008.05.03 Spyware/Virtumonde
Prevx1 V2 2008.05.04 Malicious Software
Rising 20.42.60.00 2008.05.04 Trojan.Win32.VUNDO.bcr
Sophos 4.29.0 2008.05.04 Troj/Virtum-Gen
Sunbelt 3.0.1097.0 2008.05.03 -
Symantec 10 2008.05.04 Trojan.Vundo.B
TheHacker 6.2.92.300 2008.05.03 Adware/Virtumonde.qpf
VBA32 3.12.6.5 2008.05.03 Win32.Adware.Virtumonde
VirusBuster 4.3.26:9 2008.05.03 -
Webwasher-Gateway 6.6.2 2008.05.04 Trojan.Vundo.GJ
weitere Informationen
File size: 39936 bytes
MD5...: 46572c3349c6047b3e47080d539ddff2
SHA1..: f4292060390cdcc9e39134bfaa84b530e689a97a
SHA256: f690cbd6741c5433a6a01bf1d9a54af078a68dab150869613ff7216cad0792e6
SHA512: 6b0f31d86ef3f811cedc4a0626226e08fae1f48bccc4b8a2367141e7be135c9e
79b3b69cade5e3f1747a0ae02ec8902297e6524bc297cad3d4154901fea75038
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100055ea
timedatestamp.....: 0x5b6589a8 (Sat Aug 04 11:10:32 2018)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1e000 0x4a00 7.27 24edb1b2060c12c4791a222038566330
.data 0x1f000 0x5000 0x4200 7.97 d2eff4c37b94abdb0dad1979f989594b
.rdata 0x24000 0x1000 0x400 5.76 4063a912e436463f41cd26a34e5af3f1
.idata 0x25000 0x1000 0x800 3.88 9318a1d2660419f744d2daa4df5cdeea

( 3 imports )
> user32.dll: ToAscii, ShowScrollBar, ShowCaret, OemToCharW, LoadImageA, LoadAcceleratorsW, LoadAcceleratorsA, IsCharUpperA, GetMessageA, GetFocus, GetCursor, EqualRect, EndMenu, EnableScrollBar, DrawCaption, DispatchMessageA, CreateMenu, CreateDesktopW, CreateDesktopA, CopyRect, CharNextA, CharLowerA, wsprintfA
> kernel32.dll: FlushFileBuffers, GetLastError, FreeResource, FindResourceA, ExitThread, CloseHandle, GetSystemTimeAsFileTime, GetVersion, OpenFile, ReadFile, lstrlenA, lstrcpynA, lstrcatA, WriteFile, UnmapViewOfFile, TlsGetValue, TlsFree, SetEndOfFile, SetCurrentDirectoryA, GetStartupInfoA
> oleaut32.dll: GetErrorInfo, OleIconToCursor, OleLoadPicture, OleLoadPicturePath, SafeArrayAllocDescriptor, SetErrorInfo, SysFreeString, VarBstrCmp, ClearCustData

( 0 exports )





und hier das von combofix:

ComboFix 08-05-01.3 - TheApe 2008-05-04 13:31:17.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.432 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\TheApe\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\28463
C:\WINDOWS\system32\28463\AKBM.006
C:\WINDOWS\system32\28463\AKBM.007
C:\WINDOWS\system32\28463\akv.cfg
C:\WINDOWS\system32\qoMfFuTL.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-04 bis 2008-05-04 ))))))))))))))))))))))))))))))
.

2008-05-04 09:21 . 2008-05-04 09:21 <DIR> d-------- C:\Programme\Lavasoft
2008-05-04 09:21 . 2008-05-04 09:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-04 09:20 . 2008-05-04 09:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-29 11:20 . 2008-04-29 11:20 15,648 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 11:19 . 2008-04-29 11:19 15,648 --a------ C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 11:19 . 2008-04-29 11:19 12,960 --a------ C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-28 20:59 . 2008-04-28 20:59 0 --ah----- C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-04-28 13:28 . 2008-04-28 13:28 <DIR> d-------- C:\VundoFix Backups
2008-04-27 13:03 . 2008-04-27 13:03 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-04-21 15:08 . 2008-04-21 15:08 13,144 --a------ C:\WINDOWS\system32\lsdelete.exe
2008-04-20 21:26 . 2008-04-20 21:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-04-16 19:44 . 2008-04-16 19:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-04-16 19:37 . 2008-02-25 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-04-16 19:19 . 2008-04-16 19:19 10 --a------ C:\WINDOWS\WININIT.INI
2008-04-10 22:29 . 2008-04-10 22:29 0 --a------ C:\WINDOWS\ativpsrm.bin
2 Datei(en) . 0 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-04 11:41 --------- d-----w C:\Programme\Steam
2008-05-04 11:28 --------- d-----w C:\Dokumente und Einstellungen\TheApe\Anwendungsdaten\SlimBrowser
2008-05-04 07:18 --------- d-----w C:\Dokumente und Einstellungen\TheApe\Anwendungsdaten\Lavasoft
2008-04-28 07:48 --------- d-----w C:\Programme\SlimBrowser
2008-04-28 04:16 --------- d-----w C:\Dokumente und Einstellungen\TheApe\Anwendungsdaten\Skype
2008-04-25 14:27 --------- d-----w C:\Programme\ICQToolbar
2008-04-16 17:38 --------- d-----w C:\Programme\ATI Technologies
2008-04-02 09:49 --------- d-----w C:\Programme\directx
2008-04-02 09:47 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-02 09:47 --------- d-----w C:\Programme\Rockstar Games
2008-03-31 17:27 0 ----a-r C:\logwmemory.bin
2008-03-31 08:32 --------- d-----w C:\Dokumente und Einstellungen\TheApe\Anwendungsdaten\Hamachi
2008-03-27 17:51 --------- d-----w C:\Programme\Winamp
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-14 10:15 --------- d-----w C:\Programme\iTunes
2008-03-14 10:15 --------- d-----w C:\Programme\iPod
2008-02-26 03:12 372,736 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-02-26 03:10 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2008-02-26 03:10 299,520 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2008-02-26 03:02 172,032 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-02-26 03:02 126,976 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2008-02-26 03:01 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-02-26 03:01 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-02-26 03:01 126,976 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-02-26 03:00 520,192 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-02-26 02:59 9,797,632 ----a-w C:\WINDOWS\system32\atioglx2.dll
2008-02-26 02:58 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-02-26 02:49 3,176,480 ----a-w C:\WINDOWS\system32\ati3duag.dll
2008-02-26 02:41 1,755,264 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2008-02-26 02:29 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-02-26 02:25 393,216 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-02-26 02:23 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2008-02-26 02:21 5,439,488 ----a-w C:\WINDOWS\system32\atioglxx.dll
2008-02-26 02:19 167,936 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-02-26 02:16 520,192 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-18 18:18 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2008-02-18 18:18 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2008-02-18 18:18 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-08 11:34 2,829 -c--a-w C:\WINDOWS\War3Unin.pif
2008-02-08 11:34 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2007-09-30 22:30 16,768 ----a-w C:\Dokumente und Einstellungen\TheApe\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2001-11-23 12:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-12-13 18:49 1185120 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-12-13 18:49 1185120]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-12-13 18:49 1185120]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [ ]
"Steam"="c:\programme\steam\steam.exe" [2008-03-28 01:49 1271032]
"Orb"="C:\Programme\Winamp Remote\bin\OrbTray.exe" [2008-01-07 22:02 495616]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2002-07-12 18:33 1581056 C:\WINDOWS\mixer.exe]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-12-14 18:19 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2004-12-14 18:57 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2004-12-14 18:51 217088]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-26 19:56 262401]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2005-02-01 19:28 1469952]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-10 13:02 180269]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-03-27 08:35 36352]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Steam\\Steam.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Steam\\steamapps\\halfsunny123\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Steam\\steamapps\\halfsunny123\\day of defeat source\\hl2.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14576:TCP"= 14576:TCP:BitComet 14576 TCP
"14576:UDP"= 14576:UDP:BitComet 14576 UDP

S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-06-29 02:01]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f99ffb9e-97a1-11dc-861c-00308476b413}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-04-25 08:58:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-04 13:38:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-04 13:46:17 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-04 11:46:11

12 Verzeichnis(se), 1,664,450,560 Bytes frei
14 Verzeichnis(se), 1,858,949,120 Bytes frei

181 --- E O F --- 2008-04-12 00:02:05

Das ist nur ein Trojaner, er wird nur von den Herstellern unterschiedlich erkannt. ;)


Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.


Danach sollte dein System wieder sauber sein, es sei denn du hast weiterhin noch Probleme. ;)

ok bis dahin ganz in ordnung :)
ich hab das gemacht was du hingeschrieben hast. war bis jetzt auch alles super! als ich dann am ende antivir laufen liess, hat er nichts gefunden. doch jetzt vor ca 2 min kam wieder etwas....

diesmal habe ich tr/vundo.gen also am ende nciht mehr gj sondern gen und das ist in einem ganz anderen ordner.

antivir:

In der Datei 'C:\Dokumente und Einstellungen\TheApe\Lokale Einstellungen\temp\IXP000.TMP\is202201.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.


habe versucht es zu löschen, geht aber nicht. an für sich nervt es gar nicht so. ist es schlimm? sollte ich das wegmachen? wenn ja, wie soll ich hier vorgehen?

danke

OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!

ok, jetzt bin cih total baff....

gerade eben noch eine meldung:

In der Datei 'C:\Dokumente und Einstellungen\TheApe\Lokale Einstellungen\temp\IXP000.TMP\update.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.eht.6' [trojan] gefunden.

noch einer, und zwar im gleichen ordner. ich habe das programm runtergeladen und das eingefügt was ich hätte einfügen sollen.

File/Folder C:\Dokumente und Einstellungen\TheApe\Lokale Einstellungen\temp\IXP000.TMP not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05042008_181639

hab am ende auch die namen mal eingetippt, sprich '...\update.exe' und '...\is202201.exe' --> gleiches ergebniss. Vielleicht hätte ich erwähnen sollen, dass der ordner 'lokale einstellungen' eine versteckte datei ist? :confused: