Hilfe ich weiß nicht mehr weiter - Trojan.Vundo

Marcelluz · 17.01.2006, 13:14

Hi,

ich hab ein dickes Problem. Mein Norton zeigt mir den Virus "Trojan.vundo" an und ich bekomm ihn nicht weg. Ich habe das Symantec Tool zum entfernen von "Trojan.vundo" heruntergeladen und ausprobiert, hat aber nicht funktioniert. Bitte helft mir, ich weiß nicht mehr weiter.

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 12:27:16, on 17.01.2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Um9ra28\command.exe
C:\WINDOWS\lsass.exe
C:\PROGRA~1\NORTON~3\NORTON~2\NPROTECT.EXE
C:\WINDOWS\system32\pnpsp2fix.exe
C:\PROGRA~1\NORTON~3\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\sysmgr64.exe
C:\WINDOWS\system32\wincntrl.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\ecsiin.stub.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Dokumente und Einstellungen\Stephan\Desktop\wechdamit\HijackThis.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\vtstq.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [Launch] C:\compaq\audio\Setup.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [mouse] C:\compaq\mouse\mouse.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINDOWS\System32\system12.exe
O4 - HKLM\..\Run: [Audio Driver] C:\WINDOWS\System32\msadrv.exe
O4 - HKLM\..\Run: [ecsiin] C:\ecsiin.stub.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\RunServices: [mouse] C:\compaq\mouse\mouse.exe
O4 - HKLM\..\RunServices: [Internet Help Svc] IHSVC.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunServices: [Internet Help Svc] IHSVC.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/201df198580d2ad92420/netzip/RdxIE601_de.cab
O20 - Winlogon Notify: vtstq - C:\WINDOWS\System32\vtstq.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Um9ra28\command.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Unknown owner - C:\WINDOWS\system32\pnpsp2fix.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe

Vielen Dank im Voraus

hoerni26 · 17.01.2006, 13:25

hallo,

also dein system ist sehr verseucht,was unter anderem auch daran liegt das du weder SP 1 noch Sp 2 auf deinem system hast..
aufgrund dessen und min 1 aktiven backdorr trojaner gibt es hier nur eine lösung..
setze dein system nach anleitung in meiner signatur neu auf..
und sichere es vor dem ersten internet gang ordentlich ab..
steht aber alles in der anleitung beschrieben

stupormundi · 17.01.2006, 13:31

Servus!

Zitat:

ich hab ein dickes Problem.

Volle Zustimmung.
Unter anderem den und den und noch ein paar andere.
Schuld daran ist nebenbei Dein jungfräuliches, nicht aktuelles Betriebssystem.
Da kann ich Dir nur doch diesen Rat geben - alles andere ist sinn- und zwecklos!
stupormundi
~~edit~~hoerni26 war schneller und hat Recht

~~/edit~~

Marcelluz · 17.01.2006, 13:31

Hi hoerni26,

erstmal danke für die schnelle Antwort.

Zitat:

Zitat von hoerni26

hallo,

also dein system ist sehr verseucht,was unter anderem auch daran liegt das du weder SP 1 noch Sp 2 auf deinem system hast..
aufgrund dessen und min 1 aktiven backdorr trojaner gibt es hier nur eine lösung..
setze dein system nach anleitung in meiner signatur neu auf..
und sichere es vor dem ersten internet gang ordentlich ab..
steht aber alles in der anleitung beschrieben

Daraus entnehme ich, dass "Trojan.vundo" nicht das einzige Problem bei diesem Rechner sein wird.
Also bleibt mir wirklich nichts ander übrig als den Rechner platt zu machen hm?

hoerni26 · 17.01.2006, 13:33

ja das hast du richtig erkannt..
alles andere ist schwasinn und bringt nix..

@stupormundi

danke,nun war ich mal einmal schnell..

Marcelluz · 17.01.2006, 14:08

Ich will euch ja nicht nerven, begriffen habe ich es auch, aber gäbe es nicht vielleicht doch eine Möglichkeit den wurm und die zwei trojaner zu entfernen. Denn das ist der privat-PC von meinem Chef, und ich habe keine windows CD in der Niederlassung, ich würde ihm den PC aber gerne heute wieder mitgeben.

stupormundi · 17.01.2006, 14:14

Servus noch mal!
Nein, es gibt definitiv keine andere, vor allem sinnvolle Möglichkeit!
Lies Dir dazu die von mir verlinkte Anleitung von Cidre zum neu Aufsetzen durch. Da findest Du ausreichend Infos darüber, warum bei einem (bei Dir multiplen) Backdoorbefall eine Bereinigung sinnlos ist!
Zumal Du (~~edit~~ Dein Chef ~~/edit~~) ein Uralt System betrieben hast!
Also, nimm diese verseuchte Kiste vom Netz und setze sie nach Anleitung ordentlich wieder auf und rate Deinem Chef, in Hinkunft auf die Wartung seines Systems (siehe Cidres 12 Punkte) zu achten.
Aus Boshaftigkeit rät Dir hier niemand zum neu Aufsetzen!
stupormundi

hoerni26 · 17.01.2006, 14:16

nein es gibt leider keine andere möglichkeit..
neuaufsetzen ordentlich sicheren und updaten..
les dir die anleitung in meiner signatur dazu in ruhe durch..
backdoor trojaner sind nicht so einfach wegzubekommen.
dies trojaner ermöglichen 3 zugriff auf deinen rechner dh. sie können somit alle daten die sich darauf befinden ausspionieren.
ich selber würde damit nicht mehr online gehen wollen..

@stupormundi diesmal warst du schneller..

Marcelluz · 17.01.2006, 14:25

Also erstmal vielen Dank für die schnelle Hilfe.

estmal ist das nicht mein PC, ich sichere mein System ordentlich ab.
zum zweiten brauch ich keine Anleitung zum neu Aufsetzen (nicht falsch vestehen aber installieren, konfigurieren und sichern kann ich das System ohne Anleitung).
Und drittens betreibe ich den PC offline - sprich ich lade z. B. die tools auf den stick und übertrage sie damit auf den infizierten pc.
also ich will jetzt hier nimandem blöd kommen oder so, aber ich wollte halt nochmal verdeutlichen, dass dieser PC definitiv nicht meiner ist, von mir aufgesetzt oder betrieben wurde.

Also nochmal vielen Dank für eure Hilfe, ich werde das ding morgen platt machen.

stupormundi · 17.01.2006, 14:29

@marcelluz
Dass das nicht Dein persönlicher PC ist, haben sowohl hoerni26 als auch ich bemerkt - und die Tipps von Cidre zum neu Aufsetzen und anschließendem Absichern haben noch niemanden geschadet (auch nicht den größten Profis)!

Und das nette *lmaa*-Smiley hättest Du dir sparen können ...

stupormundi

Marcelluz · 17.01.2006, 14:33

Ja komm etz fühl dich halt net angegriffen, der smiley is auch wech.

Und dass ich der größte Profi bin hab ich nicht behauptet.

also sorry falls sich irgend jemand angegiffen fühlt

Hilfe ich weiß nicht mehr weiter - Trojan.Vundo

Log-Analyse und Auswertung: Hilfe ich weiß nicht mehr weiter - Trojan.Vundo