|
Plagegeister aller Art und deren Bekämpfung: Trojan Vundo beseitigenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.01.2006, 10:30 | #1 |
| Trojan Vundo beseitigen Hallo, hoffe, dass das Thema jetzt nicht redundant ist, habe zumindestens beim ersten Durchsuchen nichts in den aktuellen Beiträgen gefunden. Wie kann ich den Trojan Vundo beseitigen? Der Norton meldet, dass er den Virus beseitigt hat, aber diese Meldung lässt sich nicht löschen. INBY |
02.01.2006, 11:13 | #2 |
| Trojan Vundo beseitigen hallo,
__________________bitte poste ein HJT logfile.. anleitung dazu findest du im link meiner signatur..
__________________ |
03.01.2006, 00:07 | #3 |
| Trojan Vundo beseitigen Hallo hoerni26,
__________________vielen Dank für die Info. Das Logfile anbei. Mit dem SypwareDoctor hatte ich bereits gescannt. INBY P.S. Das Logfile-Hochladen klappt irgendwie nicht, versuche es morgen nochmals in Ruhe. |
03.01.2006, 21:43 | #4 |
| Trojan Vundo beseitigen Hallo Hoerni26, so, jetzt eben nicht als Attachment, sondern direkt eingefügt: Logfile of HijackThis v1.99.1 Scan saved at 21:38:50, on 03.01.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Nhksrv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\PMJ151LA.BIN C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\MMKeybd.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\WinPortrait\wpctrl.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\USB Storage Device\shwicon.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Creative\SBLive\Diagnostics\diagent.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\programme\quicktime6.0pro-player\qttask.exe C:\Programme\Netropa\OSD.exe C:\Programme\Audioprogramme\Winamp5.1\winampa.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\DRIVERS\AIRPLUS.EXE C:\Programme\AVPersonal\GUARDGUI.EXE C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Highjackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.powerlifting-ka.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.powerlifting-ka.de/ R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\gebyv.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\MMKeybd.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [ShowIcon_The Company_USB Storage Device v1.14e035] "C:\Programme\USB Storage Device\shwicon.exe" -t"The Company\USB Storage Device v1.14e035" O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Videoprogramme\CloneCDTest\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime6.0pro-player\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Audioprogramme\Winamp5.1\winampa.exe O4 - HKLM\..\Run: [Browser Help Svc] BHSV.EXE O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKLM\..\Run: [webscan] "C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe" -k O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [NBJ] "C:\Programme\DVD-Programme\Nero6.3\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: D-Link AirPlus Utility.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\inetrepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preisvergleichstool\preispiraten.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://217.17.197.101/scripts/iedropupload.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108926890515 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540001} - http://www.ecards-it.com/de/flashplayer.cab O16 - DPF: {D42ED9FF-DF46-4AD9-A3FE-46BAF896466E} (CountSpies.SpyCounter) - http://www.sunbelt-software.com/evaluation/410/web/CounterSpy.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{114E1756-2700-44CF-BD42-DC2610C77334}: NameServer = 10.10.10.9 O17 - HKLM\System\CCS\Services\Tcpip\..\{9B4FE766-8E3E-48AE-955D-C94E17C8FCDD}: NameServer = 10.10.10.8 O17 - HKLM\System\CCS\Services\Tcpip\..\{D9AD3D22-45DF-4F10-909B-40883A6C6D77}: NameServer = 62.27.27.62 195.247.247.195 O17 - HKLM\System\CS1\Services\Tcpip\..\{114E1756-2700-44CF-BD42-DC2610C77334}: NameServer = 10.10.10.8 O20 - Winlogon Notify: gebyv - C:\WINDOWS\System32\gebyv.dll O20 - Winlogon Notify: ssqpp - ssqpp.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Windows Disk Check (dskcheck) - Unknown owner - C:\WINDOWS\system32\dskcheck.exe (file missing) O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINDOWS\Nhksrv.exe O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe O23 - Service: PMJ151 AutoLaunch Service (PMJ151LA) - Matsushita Electric Industrial Co. ,Ltd, - C:\WINDOWS\PMJ151LA.BIN O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\DSL-Meter\tsmsvc.exe O23 - Service: windows system source (windowsvc) - Unknown owner - C:\WINDOWS\System32\windowssvc.exe (file missing) O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing) |
03.01.2006, 22:21 | #5 |
| Trojan Vundo beseitigen hallo INBY, dein Sytem ist ja fast älter als ich.Das lohnt nicht dir deinen Murks vom System zu räumen.Eine der nächsten Internetsitzungen wird dir dein völlig ungepatchtes System wieder vollmeiern und der Zirkus geht von vorne los. Setze dein System neu auf und besorge dir sämtliche Update`s.SP2 gibt es auch als kostenlose CD zu bestellen.Dieser Link wird dir helfen in Zukunft deine Kiste sauber zu halten. http://www.trojaner-board.de/showthread.php?t=12154 Irrlicht |
04.01.2006, 23:49 | #6 |
| Trojan Vundo beseitigen @Irrlicht Ich weiss, ich kann aus einem besagtem Grund nicht updaten, sprich SP 2 geht nicht :-(, falls Du nicht einen Trick weisst, ohne dass Microsoft sich einschaltet. Werde wohl um eine Investition nicht umhin kommen. INBY |
05.01.2006, 00:08 | #7 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan Vundo beseitigenZitat:
Du wirst doch wohl nicht als Windows-Key den haben, der mit FCKGW anfängt... Wenn ja ->
__________________ Logfiles bitte immer in CODE-Tags posten |
05.01.2006, 20:45 | #8 |
| Trojan Vundo beseitigen @Cosinuns Youp, habe ich, aber jetzt probiere ich gerade einen Key-Changer aus, mal sehen, ob danach die SP2-Installation klappt. INBY |
07.01.2006, 17:38 | #9 |
| Trojan Vundo beseitigen Geht leider nicht, hat sonst keiner einen schlauen Rat?? INBY |
07.01.2006, 17:54 | #10 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan Vundo beseitigenZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
08.01.2006, 10:04 | #11 |
| Trojan Vundo beseitigen Ja, der Tipp ist super, darauf bin ich auch schon gekommen, nur wollte ich momentan etwas Geld sparen. INBY |
Themen zu Trojan Vundo beseitigen |
aktuelle, aktuellen, beiträge, beseitigen, beseitigt, durchsuchen, gefunde, melde, meldet, meldung, nichts, norton, thema, troja, trojan, virus, virus beseitigt, vundo |