Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojan.Vundo und Trojan Horse

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 26.10.2007, 14:58   #1
TMMG
 
Trojan.Vundo und Trojan Horse - Standard

Trojan.Vundo und Trojan Horse



Hi Leute,

habe die beiden obengenannten Trojaner auf dem Rechner! Habe schon ein wenig gegoogelt, aber leider keine Anleitung gefunden, wie man die beiden Trojaner ohne Norton oder das Posten von Logfiles entfernen kann...insofern poste ich hier einfach mal die meine Hijack logfile, in der Hoffnung, dass mir jemand helfen kann!

Logfile of HijackThis v1.99.1
Scan saved at 3:50:39 PM, on 10/26/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Portrait Displays\HP Display Assistant\DTSRVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HPQ\SHARED\HPQWMI.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Portrait Displays\HP Display Assistant\DTHtml.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton Security Scan\Nss.exe
C:\Sonstiges\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WEB.DE - E-Mail - DSL - Modem - Shopping - Entertainment
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {E98AC0E0-843B-487A-ACD4-9CD42F8CBC8A} - C:\WINDOWS\system32\tuvsp.dll (file missing)
O2 - BHO: (no name) - {EA46D6B5-32BD-4DBE-BAA3-2E50BDC33FBf} - C:\WINDOWS\system32\bywrxudt.dll (file missing)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] "C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" /Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DT Task] "C:\Programme\Portrait Displays\HP Display Assistant\DTHtml.exe" -startup_folder
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Poker\UltimateBet\UltimateBet.exe
O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Poker\UltimateBet\UltimateBet.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab56986.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Portrait Displays\HP Display Assistant\DTSRVC.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett Packard Company - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PostgreSQL Database Server 8.0 (pgsql-8.0) - PostgreSQL Global Development Group - C:\poker\PostgreSQL\bin\pg_ctl.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Hoffe, ich habe es ins richtige Forum gepostet. Schon mal vielen Dank im vorraus!

Alt 26.10.2007, 15:22   #2
nochdigger
 
Trojan.Vundo und Trojan Horse - Standard

Trojan.Vundo und Trojan Horse



Hallo

wo wurde den was gefunden (Pfad/Dateiname)?

Mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Dann führe bitte diese Anleitungen durch

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Das Ergebnis der Filelist kannst du in Codetags posten das ist die Raute in der Antwortbox -->#

MFG
__________________


Alt 26.10.2007, 16:08   #3
TMMG
 
Trojan.Vundo und Trojan Horse - Standard

Trojan.Vundo und Trojan Horse



Hi,

habe die Dateien wieder sichtbar gemacht. Habe ebenfalls das Vundo Prog runtergeladen und gestartet, allerdings findet es keine gefährdete Datei, obwohl mir eine Norton Testversion sagt, ich hätte den Trojaner drauf(löchen geht nicht mit der Norton Version, da es nur sehr eingeschränkte Fähigkeiten hat).

Hier die Ausgabe von dem 2.Programm:

Script execution time was exceeded on script "C:\ComboFix\osid.vbs".
Script execution was terminated.
ausgeführt von:: C:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\RSMPD9AP\www.broadcaster.com
C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\RSMPD9AP\www.broadcaster.com\played_list.sol
C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\RSMPD9AP\www.broadcaster.com\video_queue.sol
C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-26 bis 2007-10-26 ))))))))))))))))))))))))))))))
.

2007-10-26 16:37 1,393,213 --a------ C:\ComboFix.exe
2007-10-26 16:33 <DIR> d-------- C:\VundoFix Backups
2007-10-26 16:32 115,200 --a------ C:\VundoFix.exe
2007-10-19 15:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-10-14 22:00 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-10-14 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\TMMG\Contacts
2007-10-13 03:30 <DIR> d-------- C:\WINDOWS\pss
2007-10-12 13:12 <DIR> d-------- C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\TeamViewer
2007-10-12 13:11 <DIR> d-------- C:\Programme\TeamViewer3
2007-10-12 12:36 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-10-12 12:36 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2007-10-12 12:36 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2007-10-12 12:36 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2007-10-10 22:50 <DIR> d-------- C:\Programme\Norton Security Scan

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-23 21:36 --------- d-----w C:\Programme\PartyGaming
2007-10-21 22:46 --------- d-----w C:\Programme\PeerGuardian2
2007-10-16 22:58 --------- d-----w C:\Programme\PokerStars
2007-10-16 16:25 --------- d-----w C:\Programme\ShotOnline
2007-10-14 20:00 --------- d-----w C:\Programme\MSN Messenger
2007-10-11 01:17 --------- d-----w C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\Microgaming
2007-10-09 16:09 --------- d-----w C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\Hamachi
2007-10-09 12:15 --------- d-----w C:\Programme\mIRC
2007-09-19 15:06 --------- d-----w C:\Programme\Valve
2007-09-19 15:02 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-09-17 20:22 10,578 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-07-27 22:07 783,224 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-07-27 21:57 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2006-03-15 14:59 17,704 ----a-w C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E98AC0E0-843B-487A-ACD4-9CD42F8CBC8A}]
C:\WINDOWS\system32\tuvsp.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EA46D6B5-32BD-4DBE-BAA3-2E50BDC33FBf}]
C:\WINDOWS\system32\bywrxudt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-27 02:15]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-27 02:15]
"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2004-04-30 11:32]
"eabconfg.cpl"="C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-04-30 14:50]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 04:10]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-04-27 02:56]
"BluetoothAuthenticationAgent"="rundll32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe]
"DT Task"="C:\Programme\Portrait Displays\HP Display Assistant\DTHtml.exe" [2006-10-13 16:56]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-02-07 08:39]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-02-07 08:36]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-02-07 08:40]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 02:11]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

S3 V0090VID;Creative WebCam Vista Plus;C:\WINDOWS\system32\DRIVERS\V0090Vid.sys

*Newly Created Service* - CATCHME
*Newly Created Service* - ERASERUTILDRV10733
.
Inhalt des "geplante Tasks" Ordners
"2007-10-26 13:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-26 16:42:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe??????????????d????|?????? ???B???????????????B????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-26 16:44:20
.
--- E O F ---
__________________

Alt 26.10.2007, 16:11   #4
TMMG
 
Trojan.Vundo und Trojan Horse - Standard

Trojan.Vundo und Trojan Horse



Filelist.bat:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 3410-149A

Verzeichnis von C:\

10/26/2007 04:51 PM 2,079 VundoFix.txt
10/26/2007 04:44 PM 6,536 ComboFix.txt
10/26/2007 04:37 PM 1,393,213 ComboFix.exe
10/26/2007 04:32 PM 115,200 VundoFix.exe
10/26/2007 02:51 AM 501,731,328 hiberfil.sys
10/26/2007 02:51 AM 754,974,720 pagefile.sys
10/13/2007 10:55 PM 73,676,196 BCP.rar
10/13/2007 03:33 AM 211 boot.ini
10/07/2007 07:41 PM 4,808,620 Rihanna - Don't Stop the Music [Techno Version].mp3
10/07/2007 07:39 PM 4,579,328 Rihanna - Please Dont Stop The Music (Official Dance Remix).mp3
09/22/2007 09:10 PM 6,944,896 Rihanna - Good Girl Gone Bad - 03 - Don't Stop The Music.mp3
05/07/2007 05:34 PM 164 install.dat
05/07/2007 05:20 PM 404 avenger.txt
05/07/2007 05:07 PM 5,917 hijackthis.log
04/16/2007 12:39 AM 0 output.txt
04/11/2007 06:16 PM 4,849,664 2 4 Grooves - The Way I Do.mp3
04/11/2007 06:16 PM 10,268,672 Twisted Society Feat. Vernon J Price - Killer.mp3
04/11/2007 06:16 PM 4,300,800 Pate No 1 - Shining Star.mp3
04/11/2007 06:16 PM 4,546,560 Housecrushers - Touch Me.mp3
04/11/2007 06:16 PM 3,416,064 Fedde Le Grand - Put Your Hands Up For Detroit.mp3
04/11/2007 06:15 PM 4,941,824 Disco Deejays - Upside Down.mp3
04/11/2007 06:15 PM 12,210,176 Pip - Still In Love.mp3
04/11/2007 06:15 PM 5,849,088 Crew 7 - Eye Of The Tiger.mp3
04/11/2007 06:15 PM 4,732,928 Camille Jones - The Creeps.mp3
04/11/2007 06:15 PM 4,657,152 Eddie Thoneick Feat. Berget Lewis - Deeper Love.mp3
04/11/2007 06:15 PM 4,976,640 Peter Luts And Dominico - What A Feeling.mp3
04/11/2007 06:14 PM 5,228,544 Phunk Foundation - Let It Go.mp3
04/11/2007 06:14 PM 4,777,984 Phunk A Delic - Rockin.mp3
03/16/2007 10:25 PM 8,888 debug.txt
12/14/2006 05:05 AM 132 ICSYSINF.log
10/09/2006 05:53 AM 6,433 WCThumb.tmb
03/09/2006 07:37 PM 5,182 CtDrvStp.log
03/09/2006 07:37 PM 97 CtDrvIns.log
11/03/2005 03:49 AM 90 chpst.log
11/03/2005 03:48 AM 22,002 sunjava.log
11/03/2005 03:47 AM 183 setup.log
11/03/2005 03:36 AM 187 syntp.log
11/03/2005 03:00 AM 0 MSDOS.SYS
11/03/2005 03:00 AM 0 IO.SYS
11/03/2005 03:00 AM 0 CONFIG.SYS
11/03/2005 03:00 AM 0 AUTOEXEC.BAT
08/03/2004 10:59 PM 251,184 ntldr
08/03/2004 10:38 PM 47,564 NTDETECT.COM
08/23/2001 12:00 PM 4,952 bootfont.bin
44 Datei(en) 1,423,341,802 Bytes
0 Verzeichnis(se), 5,007,593,472 Bytes frei

Alt 26.10.2007, 16:16   #5
TMMG
 
Trojan.Vundo und Trojan Horse - Standard

Trojan.Vundo und Trojan Horse



Wenn ich alle untenaufgeführten Verzeichnisse posten soll(filelist.bat), dann müsste ich sehr sehr sehr viele Postings machen, aufgrund der Zeichenbegrenzung! Soll ich wirklich die anderen auch noch posten?


Alt 26.10.2007, 22:26   #6
nochdigger
 
Trojan.Vundo und Trojan Horse - Standard

Trojan.Vundo und Trojan Horse



Hallo

mich selbst zitier
Zitat:
wo wurde den was gefunden (Pfad/Dateiname)?


Zitat:
Soll ich wirklich die anderen auch noch posten?
Na klar, wie gesagt du kannst es als Codetags posten, aber bitte nur die letzten 30 Tage
[CODE]
Logfile
[/CODE ]<--ohne Leerzeichen oder die Raute # in der Antwortbox anklicken.

MFG

Alt 27.10.2007, 14:15   #7
TMMG
 
Trojan.Vundo und Trojan Horse - Standard

Trojan.Vundo und Trojan Horse



Das Programm zeigt mir leider nur an, dass die beiden Trojaner gefunden worden, jedoch nicht wo. Dazu müsse man dann wohl die Vollversion kaufen...


Hier die logfile:

Code:
ATTFilter
----- Root ----------------------------- 
 Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
 Volumeseriennummer: 3410-149A

 Verzeichnis von C:\

10/27/2007  02:12 PM       501,731,328 hiberfil.sys
10/27/2007  02:12 PM       754,974,720 pagefile.sys
10/26/2007  04:51 PM             2,079 VundoFix.txt
10/26/2007  04:44 PM             6,536 ComboFix.txt
10/26/2007  04:37 PM         1,393,213 ComboFix.exe
10/26/2007  04:32 PM           115,200 VundoFix.exe
10/13/2007  10:55 PM        73,676,196 BCP.rar
10/13/2007  03:33 AM               211 boot.ini
09/22/2007  09:10 PM         6,944,896 Rihanna - Good Girl Gone Bad - 03 - Don't Stop The Music.mp3

 
----- System32 ------------------------- 
 Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
 Volumeseriennummer: 3410-149A

Verzeichnis von C:\WINDOWS\system32

10/21/2007  07:02 PM             2,206 wpa.dbl
08/01/2007  11:19 AM             3,002 CONFIG.NT

 
----- Prefetch ------------------------- 
 Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
 Volumeseriennummer: 3410-149A

 Verzeichnis von C:\WINDOWS\Prefetch

10/27/2007  03:08 PM            10,602 FIND.EXE-0EC32F1E.pf
10/27/2007  03:08 PM            13,312 CMD.EXE-087B4001.pf
10/27/2007  03:08 PM            12,112 NMBGMONITOR.EXE-0BC10095.pf
10/27/2007  03:08 PM            40,504 NMIndexStoreSvr.exe-1DBCF9FD.pf
10/27/2007  03:07 PM            67,828 WINAMP.EXE-08C38ED9.pf
10/27/2007  03:04 PM            14,278 NOTEPAD.EXE-336351A9.pf
10/27/2007  02:35 PM            83,084 FIREFOX.EXE-1D57670A.pf
10/27/2007  02:27 PM           287,004 Layout.ini
10/27/2007  02:15 PM           804,398 NTOSBOOT-B00DFAAD.pf
10/27/2007  02:15 PM            10,594 WSCNTFY.EXE-1B24F5EB.pf
10/27/2007  05:01 AM            47,086 WINWORD.EXE-259486DA.pf
10/27/2007  03:23 AM            44,476 TEAMSPEAK.EXE-1C1FA5B1.pf
10/27/2007  12:03 AM            20,296 SETUP.OVR-10EB9DE2.pf
10/27/2007  12:02 AM            83,622 AVAST.SETUP-2B043760.pf
10/26/2007  11:31 PM            13,974 POKERSTOVE.EXE-078EAC1C.pf
10/26/2007  11:31 PM            14,778 IGFXSRVC.EXE-2FB63FE8.pf
10/26/2007  10:28 PM            58,298 POKERSTARS.EXE-25DA8FFD.pf
10/26/2007  10:28 PM            70,372 POKERSTARSUPDATE.EXE-25C75939.pf
10/26/2007  08:26 PM            40,900 DFRGNTFS.EXE-269967DF.pf
10/26/2007  08:26 PM            14,738 DEFRAG.EXE-273F131E.pf
10/26/2007  07:59 PM            20,832 WUAUCLT.EXE-399A8E72.pf
10/26/2007  07:59 PM            14,674 ALG.EXE-0F138680.pf
10/26/2007  07:59 PM            29,024 WMIPRVSE.EXE-28F301A9.pf
10/26/2007  07:59 PM            16,156 IMAPI.EXE-0BF740A4.pf
10/26/2007  07:59 PM            22,192 ASHWEBSV.EXE-091EF0CF.pf
10/26/2007  07:59 PM            13,520 HPQWMI.EXE-0B2E781D.pf
10/26/2007  07:59 PM            27,704 ASHMAISV.EXE-24E25810.pf
10/26/2007  07:59 PM            14,240 REGEDIT.EXE-1B606482.pf
10/26/2007  07:59 PM            17,930 POSTGRES.EXE-145D7DC0.pf
10/26/2007  05:49 PM            16,310 LOGONUI.EXE-0AF22957.pf
10/26/2007  04:55 PM            30,730 WINRAR.EXE-3588DFE8.pf
10/26/2007  04:48 PM            12,604 VUNDOFIX.EXE-0B6FD25A.pf
10/26/2007  04:46 PM            63,606 EXPLORER.EXE-082F38A9.pf
10/26/2007  04:44 PM             8,432 NIRCMD.EXE-2C39EF53.pf
10/26/2007  04:44 PM             4,288 MTEE.CFEXE-1E067BC7.pf
10/26/2007  04:44 PM             7,712 NIRCMD.CFEXE-19FF4781.pf
10/26/2007  04:44 PM            27,800 CATCHME.CFEXE-0F2A0789.pf
10/26/2007  04:44 PM             3,820 GREP.CFEXE-20443039.pf
10/26/2007  04:43 PM             4,852 TREE.COM-0A9AA73A.pf
10/26/2007  04:43 PM            46,690 DUMPHIVE.CFEXE-2ED3B134.pf
10/26/2007  04:43 PM             2,960 VFIND.CFEXE-2033727F.pf
10/26/2007  04:43 PM             6,418 SWREG.CFEXE-2BF4FFCD.pf
10/26/2007  04:43 PM             3,646 SED.CFEXE-268D7E58.pf
10/26/2007  04:43 PM            11,050 FINDSTR.EXE-0CA6274B.pf
10/26/2007  04:43 PM            26,538 CSCRIPT.EXE-1C26180C.pf
10/26/2007  04:42 PM            10,000 SORT.EXE-194AE83C.pf
10/26/2007  04:42 PM            17,178 REGT.CFEXE-15DB5DAE.pf
10/26/2007  04:42 PM            12,410 REG.EXE-0D2A95F7.pf
10/26/2007  04:42 PM            10,396 ATTRIB.EXE-39EAFB02.pf
10/26/2007  04:42 PM             6,460 SWXCACLS.CFEXE-365F7973.pf
10/26/2007  04:42 PM             6,896 SWSC.CFEXE-3B4FE4FE.pf
10/26/2007  04:42 PM             4,266 HANDLE.CFEXE-13427ED2.pf
10/26/2007  04:41 PM             2,768 VFIND.EXE-0CB9A64E.pf
10/26/2007  04:38 PM             3,826 SF.CFEXE-164B3B2D.pf
10/26/2007  04:38 PM            20,414 SETPATH.CFEXE-034E3D26.pf
10/26/2007  04:38 PM             4,994 CHCP.COM-18156052.pf
10/26/2007  04:38 PM            56,078 ERUNT.CFEXE-039977DB.pf
10/26/2007  04:37 PM             6,498 SWREG.EXE-3688D00C.pf
10/26/2007  04:37 PM             7,482 NIRCMD.EXE-1F7FED22.pf
10/26/2007  04:37 PM            46,838 COMBOFIX.EXE-2CFB004E.pf
10/26/2007  03:51 PM            10,570 AVENGER.EXE-0F89D77F.pf
10/26/2007  03:50 PM            14,386 HIJACKTHIS.EXE-1BA51F44.pf
10/26/2007  03:00 PM            68,708 NSS.EXE-007FA524.pf
10/26/2007  02:46 PM            77,678 FIREFOX.EXE-17EE503B.pf
10/26/2007  01:53 PM            22,968 DTHTML.EXE-2DADBB10.pf
10/26/2007  01:53 PM             8,910 JUSCHED.EXE-19D14246.pf
10/26/2007  01:53 PM            16,350 EABSERVR.EXE-2897917A.pf
10/26/2007  01:53 PM            13,796 SYNTPENH.EXE-3967AE36.pf
10/26/2007  01:53 PM             9,168 SYNTPLPR.EXE-0AB61C3B.pf
10/26/2007  01:53 PM            13,592 USERINIT.EXE-30B18140.pf
10/26/2007  01:53 PM             7,178 CPQSET.EXE-0830D086.pf
10/26/2007  01:52 PM            13,650 CLEANUP.EXE-21B56F2B.pf
              72 Datei(en)      2,699,442 Bytes
               0 Verzeichnis(se),  5,037,445,120 Bytes frei
 
----- Windows -------------------------- 
 Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
 Volumeseriennummer: 3410-149A

 Verzeichnis von C:\WINDOWS

10/27/2007  02:19 PM           441,438 WindowsUpdate.log
10/27/2007  02:13 PM                 0 0.log
10/27/2007  02:13 PM               159 wiadebug.log
10/27/2007  02:13 PM                50 wiaservc.log
10/27/2007  02:12 PM             2,048 bootstat.dat
10/27/2007  05:15 AM            32,630 SchedLgU.Txt
10/26/2007  03:00 PM           613,059 setupapi.log
10/26/2007  01:28 PM            54,156 QTFont.qfn
10/22/2007  12:47 AM               588 win.ini
10/20/2007  06:03 AM           136,192 catchme.exe
10/14/2007  10:00 PM             6,078 DPINST.LOG
10/13/2007  03:33 AM               227 system.ini
10/12/2007  01:04 PM           181,684 setupact.log
10/10/2007  11:18 PM             4,336 mozver.dat
10/10/2007  11:08 PM             2,622 ie7_main.log
10/10/2007  04:08 PM           110,952 wmsetup.log
----- Tasks ---------------------------- 
 Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
 Volumeseriennummer: 3410-149A

 Verzeichnis von C:\WINDOWS\tasks

10/27/2007  02:12 PM                 6 SA.DAT
10/26/2007  05:49 PM               414 Norton Security Scan.job
08/23/2001  12:00 PM                65 desktop.ini
               3 Datei(en)            485 Bytes
               0 Verzeichnis(se),  5,037,436,928 Bytes frei
 
----- Wintemp -------------------------- 
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 3410-149A

Verzeichnis von C:\WINDOWS\temp

 
----- Temp ----------------------------- 
 Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
 Volumeseriennummer: 3410-149A

 Verzeichnis von C:\DOKUME~1\TMMG\LOKALE~1\Temp

10/27/2007  03:08 PM           125,211 filelist.txt
10/27/2007  02:43 PM        13,668,513 fla7.tmp
10/27/2007  02:18 PM               513 jusched.log
         

Alt 27.10.2007, 15:41   #8
nochdigger
 
Trojan.Vundo und Trojan Horse - Standard

Trojan.Vundo und Trojan Horse



Hallo

Zitat:
Das Programm zeigt mir leider nur an, dass die beiden Trojaner gefunden worden, jedoch nicht wo.
Dieses ............ Programm.

Starte bitte HijackThis mit der Option - do a system scan only - und hake diese Einträge an :
Zitat:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {E98AC0E0-843B-487A-ACD4-9CD42F8CBC8A} - C:\WINDOWS\system32\tuvsp.dll (file missing)
O2 - BHO: (no name) - {EA46D6B5-32BD-4DBE-BAA3-2E50BDC33FBf} - C:\WINDOWS\system32\bywrxudt.dll (file missing)
dann klicke auf - fix checked - und beende Hijackthis.

Lade dir den CCleaner runter -> CCleaner Download

- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)


MFG

Alt 27.10.2007, 16:05   #9
TMMG
 
Trojan.Vundo und Trojan Horse - Standard

Trojan.Vundo und Trojan Horse



Hey digger,

schon mal vielen dank für die mühe. machst 'nen riesen job!

habe das ganze mit HijackThis soweit gemacht und silentrunners auch ausgeführt. hier ist das logfile dazu:

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"Cpqset" = "C:\Programme\HPQ\Default Settings\cpqset.exe" [null data]
"eabconfg.cpl" = ""C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" /Start" ["Hewlett-Packard "]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"BluetoothAuthenticationAgent" = ""rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"DT Task" = ""C:\Programme\Portrait Displays\HP Display Assistant\DTHtml.exe" -startup_folder" ["Portrait Displays, Inc"]
"igfxtray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"igfxhkcmd" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"igfxpers" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B8323370-FF27-11D2-97B6-204C4F4F5020}" = "SmartFTP Shell Extension DLL"
-> {HKLM...CLSID} = "SmartFTP Shell Extension DLL"
\InProcServer32\(Default) = "C:\Programme\SmartFTP Client 2.0\smarthook.dll" ["SmartFTP"]
"{654D0431-C930-43C4-B8DA-9AA01BA5B486}" = "PDI GUI Engine COM Obj"
-> {HKLM...CLSID} = "PDI GUI Engine COM Obj"
\InProcServer32\(Default) = "C:\Programme\Portrait Displays\HP Display Assistant\HtmlEngine.dll" ["Portrait Displays, Inc"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TzShell\(Default) = "{B38FE8E9-5DFC-4D58-8459-1E3AC5165E34}"
-> {HKLM...CLSID} = "TzShell"
\InProcServer32\(Default) = "C:\Programme\TUGZip\TzShell.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
TzShell\(Default) = "{B38FE8E9-5DFC-4D58-8459-1E3AC5165E34}"
-> {HKLM...CLSID} = "TzShell"
\InProcServer32\(Default) = "C:\Programme\TUGZip\TzShell.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Desktop\Landschaften_078.jpg"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\TMMG\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Scheduled Tasks:
------------------------

"Norton Security Scan" -> launches: "C:\Programme\Norton Security Scan\Nss.exe /scan-full /scheduled" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 20
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.5.0_09"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_09"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll" ["Sun Microsystems, Inc."]

{94148DB5-B42D-4915-95DA-2CBB4F7095BF}\
"ButtonText" = "UltimateBet"
"MenuText" = "UltimateBet"
"Exec" = "C:\Poker\UltimateBet\UltimateBet.exe" ["UltimateBet"]

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\
"ButtonText" = "PartyPoker.com"
"MenuText" = "PartyPoker.com"
"Exec" = "C:\Programme\PartyGaming\PartyPoker\RunApp.exe" [empty string]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
HP WMI Interface, hpqwmi, "C:\Programme\HPQ\SHARED\HPQWMI.exe" ["Hewlett Packard Company"]
Portrait Displays Display Tune Service, DTSRVC, "C:\Programme\Portrait Displays\HP Display Assistant\DTSRVC.exe" [null data]
PostgreSQL Database Server 8.0, pgsql-8.0, "C:\poker\PostgreSQL\bin\pg_ctl.exe runservice -N "pgsql-8.0" -D "C:\poker\PostgreSQL\data\"" ["PostgreSQL Global Development Group"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


---------- (launch time: 2007-10-27 17:00:03)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 79 seconds, including 18 seconds for message boxes)


Der link für die anleitung hat leider nicht funktioniert...(Anleitung eScan)

Alt 27.10.2007, 16:16   #10
nochdigger
 
Trojan.Vundo und Trojan Horse - Standard

Trojan.Vundo und Trojan Horse



Hallo

dann hier nochmal
http://www.trojaner-board.de/42731-escan-anleitung.html
dieser sollte aber funktionieren (getestet ).

MFG

Antwort

Themen zu Trojan.Vundo und Trojan Horse
adobe, antivirus, avast, avast!, bho, dll, dsl, e-mail, entfernen, excel, explorer, helfen, hewlett packard, hijack, hijackthis, icq, internet, internet explorer, launch, microsoft, programme, rundll, security, security scan, server, software, system, trojaner, vielen dank, windows, windows xp



Ähnliche Themen: Trojan.Vundo und Trojan Horse


  1. [Win XP] botnet: ntp-muliplier; desinfect: Trojan.Script.Iframer, Trojan.Heur.TP, Win.Trojan.Iniduoh, Win.Trojan.Ramnit
    Log-Analyse und Auswertung - 08.02.2014 (16)
  2. Trojaner entdeckt / gelöscht, am Folgetag neuen entdeckt (Trojan.Downloader, Trojan.Vundo)
    Plagegeister aller Art und deren Bekämpfung - 30.07.2010 (6)
  3. Trojan Horse und Trojan.Zlob entfernen
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (5)
  4. Entfernung Trojan.Heur.Vundo.cu4@d4CKyXk sowie Trojan.Tdss.153
    Plagegeister aller Art und deren Bekämpfung - 17.01.2010 (1)
  5. Trojan Horse VUNDO.AT
    Mülltonne - 24.11.2008 (1)
  6. Trojan.Vundo.H/Trojan.Agent/Trojan.BHO.H/
    Mülltonne - 11.11.2008 (0)
  7. Trojan.Vundo/Trojan.Downloader/Trojan.Agent/Malware.Trace
    Plagegeister aller Art und deren Bekämpfung - 02.08.2008 (2)
  8. Trojan Horse
    Mülltonne - 29.01.2008 (0)
  9. Trojan Horse gefunden: ldpinch trojan
    Mülltonne - 23.10.2007 (0)
  10. Trojan Horse und oder Vundo oder was ???
    Plagegeister aller Art und deren Bekämpfung - 15.07.2007 (10)
  11. Trojan horse Generic5.JMY
    Log-Analyse und Auswertung - 12.07.2007 (1)
  12. Trojan Horse Entfernen
    Plagegeister aller Art und deren Bekämpfung - 09.07.2007 (1)
  13. trojan horse
    Plagegeister aller Art und deren Bekämpfung - 09.07.2007 (23)
  14. trojan horse
    Plagegeister aller Art und deren Bekämpfung - 08.07.2007 (4)
  15. Norton blockiert Trojan.Vundo bzw. Trojan Horse
    Plagegeister aller Art und deren Bekämpfung - 01.07.2007 (2)
  16. Trojan Horse Proxy.NAB
    Plagegeister aller Art und deren Bekämpfung - 23.04.2007 (3)
  17. st.exe Trojan Horse
    Log-Analyse und Auswertung - 24.03.2005 (1)

Zum Thema Trojan.Vundo und Trojan Horse - Hi Leute, habe die beiden obengenannten Trojaner auf dem Rechner! Habe schon ein wenig gegoogelt, aber leider keine Anleitung gefunden, wie man die beiden Trojaner ohne Norton oder das Posten - Trojan.Vundo und Trojan Horse...
Archiv
Du betrachtest: Trojan.Vundo und Trojan Horse auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.