Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Vundo hilfe (https://www.trojaner-board.de/55459-vundo-hilfe.html)

Virenhasser! 06.07.2008 12:07
Vundo hilfe
 
hallo ich bin neu hier und wollte mal fragen wie man diesen bösewicht vundo aus einem system rauskriegt ich hatte ihn seit gestern hab bemerkt mein bildschirm macht ein sogenannten "Freeze" und ich muss manuell runterfarhen :( hab auch schon vundofix combofix und Spybot durchlaufen lassen! zwar hat spybot viele spyware viren trojaner und alles mögliche gefudnen und gelöscht aber es kommen 2 dll files immer wieder. ich bitte euch um hilfe weil ich bin sehr verzweifelt und will das so schnelll wie möglich hinkreigen Hijack this kommt jetzt der log file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:05, on 2008-07-06
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Xfire\xfire.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Opera\Opera.exe
C:\Windows\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Users\Emir\AppData\Local\Temp\Rar$EX00.606\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.youtube.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {4AD78488-986D-4E5E-98A8-97698E78EFD5} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9CC2B36F-D26D-4320-B458-CDF18C9BA3A0} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {E3F1545B-492F-4081-9721-58A8F66D4641} - (no file)
O2 - BHO: (no name) - {F6ED262D-DBCC-4460-8759-4F0ECB72AA84} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {5D04D8B7-828E-415A-92D4-C986454C5701} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: (no name) - {D4E743F3-9BD0-46D8-89F9-406357CB91BC} - (no file)
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Speech Recognition] "C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'Default user')
O4 - Global Startup: PCM Media Sharing.lnk = C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://cafecam.heerenvanbeijerland.nl/activex/AMC.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 8469 bytes


Das wars

Wer rechtschreibfehler entdeckt, darf sie behalten ^^:Boogie:

trojan-death 06.07.2008 12:11
Hi und :hallo:

Bitte gib uns den genauen Pfad der dll's an:daumenhoc

Bitte poste das Log von ComboFix...
Nun lade dir Malwarebytes (link ist in meiner Signatur), lass alles löschen was er findet und poste den Report:)

Virenhasser! 06.07.2008 12:28
okay ich mache grade und die dll's sind im system32 also so :

C:\Windows\Temp\Local\System32

Virenhasser! 06.07.2008 14:05
Malwarebytes' Anti-Malware 1.19
Datenbank Version: 899
Windows 6.0.6001 Service Pack 1

15:01:46 2008-07-06
Vundo log

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 483784
Scan Dauer: 1 hour(s), 30 minute(s), 48 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 18

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9710afd1-b321-4b6a-b2a7-e9001b5e894b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{cbdca34f-6f5e-4ef9-a5d0-b8e2d15a7f8a} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{082dc1c1-d7c1-4f63-ad44-16647019dd71} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{1524556b-77b6-4c7d-8209-4170e509a04f} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{31e82cb7-b724-477d-b51c-b358c51e02bd} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{eb1bd060-1713-4da2-84ea-8b542b929c0f} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Windows\System32\689371 (Trojan.BHO) -> No action taken.

Infizierte Dateien:
C:\Deckard\System Scanner\backup\Users\Emir\AppData\Local\Temp\tmp0000d097 (Trojan.Vundo) -> No action taken.
C:\Deckard\System Scanner\backup\Users\Emir\AppData\Local\Temp\tmp00011776 (Trojan.Vundo) -> No action taken.
C:\Deckard\System Scanner\backup\Users\Emir\AppData\Local\Temp\tmp00013be6 (Trojan.Vundo) -> No action taken.
C:\Deckard\System Scanner\backup\Users\Emir\AppData\Local\Temp\tmp0001563a (Trojan.Vundo) -> No action taken.
C:\Deckard\System Scanner\backup\Users\Emir\AppData\Local\Temp\tmp00016d81 (Trojan.Vundo) -> No action taken.
C:\Deckard\System Scanner\backup\Users\Emir\AppData\Local\Temp\tmp00016f93 (Trojan.Vundo) -> No action taken.
C:\Deckard\System Scanner\backup\Users\Emir\AppData\Local\Temp\tmp00017992 (Trojan.Vundo) -> No action taken.
C:\Deckard\System Scanner\backup\Users\Emir\AppData\Local\Temp\tmp00018d60 (Trojan.Vundo) -> No action taken.
C:\Deckard\System Scanner\backup\Users\Emir\AppData\Local\Temp\tmp0001a488 (Trojan.Vundo) -> No action taken.
C:\Deckard\System Scanner\backup\Users\Emir\AppData\Local\Temp\tmp0001c3bb (Trojan.Vundo) -> No action taken.
C:\Deckard\System Scanner\backup\Users\Emir\AppData\Local\Temp\tmp0001e484 (Trojan.Vundo) -> No action taken.
C:\Deckard\System Scanner\backup\Users\Emir\AppData\Local\Temp\tmp00020e52 (Trojan.Vundo) -> No action taken.
C:\Deckard\System Scanner\backup\Users\Emir\AppData\Local\Temp\tmp00041fcf (Trojan.Vundo) -> No action taken.
C:\Program Files\UltraStar Deluxe\sqlite3.dll (Rogue.Multiple) -> No action taken.
C:\QooBox\Quarantine\C\Windows\System32\iifgExwv.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\Windows\System32\yayvVLDw.dll.vir (Trojan.Vundo) -> No action taken.
C:\Users\Emir\AppData\Local\Ares\My Shared Folder\cd key battlefield 2.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\clkcnt.txt (Trojan.Vundo) -> No action taken.

bitteschön aufjedenfall wurden 18 daten gelöscht bleiben noch 6 stück von den mist vichern bitte um hilfe :D danke

trojan-death 07.07.2008 15:48
Zitat:
Zitat von Virenhasser! (Beitrag 351957)
okay ich mache grade und die dll's sind im system32 also so :

C:\Windows\Temp\Local\System32
und wie heissen die dll's????

trojan-death 07.07.2008 15:49
Wiso bleiben noch 6Stück???
Bitte poste ein neues Hijackthis logfile und lass mal CCleaner laufen säubern+registry(das log von ccleaner wird nicht benötigt):daumenhoc

Das log von ComboFix würde ich auch noch gerne sehen...


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:29 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129