Hallo,

meine Freundin hat ein Problem mit Ihrem Rechner. auf diesem wird permanent durch Avira immer wieder der TR/Vundo.gen gemeldet. Auf dem Rechner sollte drauf sein XP mit wahrscheinlich SP2.

Der Rechner kommt komischerweise seit kurzem auch nicht mehr mit WPA ins Netz. Ich weiß nicht ob es an dem Trojaner liegt, da Ferndiagnose. Vielleicht könnt ihr mir ja weiterhelfen.



Logfile of HijackThis v1.99.1
Scan saved at 14:11:22, on 01.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\All Users\Favoriten\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U0VD\command.exe (file missing)
O23 - Service: Windows Service Manager (csrss) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Network Browser (NBSystem) - Unknown owner - C:\WINDOWS\system32\nbsystem.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)


Verzeichnis von C:\

01.10.2006 14:02 0 sys.txt
01.10.2006 14:01 12.104 system.txt
01.10.2006 14:01 3.236 systemtemp.txt
01.10.2006 14:00 107.395 system32.txt
01.10.2006 13:44 535.875.584 hiberfil.sys
01.10.2006 13:44 805.306.368 pagefile.sys
30.09.2006 17:25 1.195 VundoFix.txt
30.09.2006 17:25 1.492 WINDOWSvundofix.reg
29.09.2006 12:49 211 boot.ini
29.09.2006 12:41 47.564 ntdetect.com
29.09.2006 12:41 251.184 ntldr
28.09.2006 08:25 398 ifaplog.txt
28.09.2006 08:25 1.275.158 Uninst.isu
28.09.2006 08:21 31 AUTOEXEC.BAT
03.08.2006 09:06 211 BOOT.BAK

Verzeichnis von C:\WINDOWS\system32

01.10.2006 11:23 305.652 perfh009.dat
01.10.2006 11:23 38.094 perfc009.dat
01.10.2006 11:23 310.384 perfh007.dat
01.10.2006 11:23 46.068 perfc007.dat
30.09.2006 17:24 9.216 VundoFixSVC.exe
30.09.2006 16:46 2.206 wpa.dbl
29.09.2006 13:20 723.744 PerfStringBackup.INI
29.09.2006 13:14 245 spupdwxp.log
29.09.2006 13:13 160.344 FNTCACHE.DAT
27.09.2006 00:15 0 mcrh.tmp
11.09.2006 19:37 8.960.936 MRT.exe
03.08.2006 11:49 16.832 amcompat.tlb
03.08.2006 11:49 23.392 nscompat.tlb
03.08.2006 11:41 396 spdwnwxp.log

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

01.10.2006 13:50 16.384 ~DF6AF1.tmp
01.10.2006 12:55 16.384 ~DF9411.tmp
30.09.2006 18:05 797.676 IMT8.xml
30.09.2006 18:05 426 IMT7.xml
30.09.2006 18:05 2.036 IMT6.xml
30.09.2006 17:55 16.384 ~DF495B.tmp
30.09.2006 17:20 32.768 ~DF55AA.tmp
30.09.2006 17:11 32.768 ~DF62DD.tmp
29.09.2006 13:21 797.676 IMT22.xml
29.09.2006 13:21 426 IMT21.xml
29.09.2006 13:21 2.036 IMT20.xml
29.09.2006 13:20 797.676 IMT11.xml
29.09.2006 13:20 426 IMT10.xml
29.09.2006 13:20 2.036 IMTF.xml
29.09.2006 07:03 143.360 cctoypay.exe
27.08.2006 15:48 149 GLG7.tmp
27.08.2006 15:48 34.304 GLK5.tmp
27.08.2006 15:48 2.560 GLJ4.tmp
27.08.2006 15:48 164.864 GLC3.tmp

Verzeichnis von C:\WINDOWS

01.10.2006 13:45 0 0.log
01.10.2006 13:44 159 wiadebug.log
01.10.2006 13:44 1.360.012 WindowsUpdate.log
01.10.2006 13:44 50 wiaservc.log
01.10.2006 13:43 32.552 SchedLgU.Txt
01.10.2006 12:22 4.088 KB920214.log
01.10.2006 12:22 4.310 KB900485.log
01.10.2006 12:22 27.797 KB905749.log
01.10.2006 12:21 3.978 KB887472.log
01.10.2006 12:21 4.183 KB918899.log
01.10.2006 12:20 42.886 KB902400.log
01.10.2006 12:20 4.031 KB920872.log
01.10.2006 12:20 3.970 KB925486.log
01.10.2006 12:20 3.571 KB916595.log
01.10.2006 12:20 3.411 KB911567.log
01.10.2006 12:19 3.304 KB894391.log
01.10.2006 12:19 38.815 setupapi.log
01.10.2006 12:12 37.289 KB921883.log
01.10.2006 12:12 56.741 updspapi.log
01.10.2006 12:12 63.189 KB911927.log
01.10.2006 12:12 36.185 KB922616.log
01.10.2006 12:12 46.519 KB911280.log
01.10.2006 12:12 38.031 KB911562.log
01.10.2006 12:12 40.907 KB917159.log
01.10.2006 12:12 35.359 KB921398.log
01.10.2006 12:11 44.527 KB910437.log
01.10.2006 12:11 28.549 KB919007.log
01.10.2006 12:11 57.022 KB914388.log
01.10.2006 12:11 135.585 ntdtcsetup.log
01.10.2006 12:11 115.020 iis6.log
01.10.2006 12:11 222.962 comsetup.log
01.10.2006 12:11 1.374 imsins.log
01.10.2006 12:11 296.212 tsoc.log
01.10.2006 12:11 23.681 ocmsn.log
01.10.2006 12:11 16.259 KB873333.log
01.10.2006 12:11 401.797 ocgen.log
01.10.2006 12:11 37.737 msgsocm.log
01.10.2006 12:11 744.911 FaxSetup.log
01.10.2006 12:11 40.407 KB905414.log
01.10.2006 12:11 28.832 KB917953.log
01.10.2006 12:11 134.828 KB901214.log
01.10.2006 12:11 26.822 KB917422.log
01.10.2006 12:11 30.250 KB912919.log
01.10.2006 12:10 31.464 KB904706.log
01.10.2006 12:10 27.752 KB908531.log
01.10.2006 12:10 26.788 KB913580.log
01.10.2006 12:10 26.046 KB908519.log
01.10.2006 12:10 24.896 KB920683.log
01.10.2006 12:10 39.836 KB914389.log
30.09.2006 20:36 4.279 OEWABLog.txt
29.09.2006 13:32 20.422 KB920685.log
29.09.2006 13:30 173.304 wmsetup.log
29.09.2006 13:20 66.618 spupdsvc.log
29.09.2006 13:20 360 DtcInstall.log
29.09.2006 13:19 316.640 WMSysPr9.prx
29.09.2006 13:18 4.696 imsins.BAK
29.09.2006 13:14 668.172 setuplog.txt
29.09.2006 13:11 1.281.165 svcpack.log
29.09.2006 13:11 228.901 KB901017.log
29.09.2006 13:10 230.347 KB900725.log
29.09.2006 13:09 229.715 KB899591.log
29.09.2006 13:08 238.462 KB899587.log
29.09.2006 13:06 205.537 KB896428.log
29.09.2006 13:05 248.340 KB896424.log
29.09.2006 13:04 228.365 KB896423.log
29.09.2006 13:03 236.873 KB896422.log
29.09.2006 13:02 228.354 KB896358.log
29.09.2006 13:01 230.619 KB893756.log
29.09.2006 13:00 231.562 KB891781.log
29.09.2006 12:59 227.793 KB890859.log
29.09.2006 12:58 218.436 KB890046.log
29.09.2006 12:56 224.360 KB888302.log
29.09.2006 12:55 240.699 KB888113.log
29.09.2006 12:54 250.513 KB885836.log
29.09.2006 12:53 258.546 KB885835.log
29.09.2006 12:52 240.549 KB873339.log
29.09.2006 12:51 1.082.380 setupapi.log.1.old
29.09.2006 12:49 373 cmsetacl.log
29.09.2006 12:48 1.600 sessmgr.setup.log
29.09.2006 05:33 3.547 KB925486-IE6SP1-20060918.120000.log
27.09.2006 00:20 120.524 ModemLog_SENS LT56ADW Modem.txt
20.09.2006 11:24 15.241 KB918899-IE6SP1-20060725.123917.log
06.09.2006 06:58 493 wmsetup10.log
28.08.2006 06:36 179.891 setupact.log
20.08.2006 09:45 15.113 KB920670.log
07.08.2006 07:20 1.362 xpsp1hfm.log
07.08.2006 07:20 51.990 KB835732.log
07.08.2006 07:18 19.814 KB918439-IE6SP1-20060530.145346.log
07.08.2006 07:18 22.507 KB916281-IE6SP1-20060526.162249.log
07.08.2006 07:16 17.846 KB911567-OE6SP1-20060316.165634.log
05.08.2006 18:17 13.309 KB842773.log
05.08.2006 13:30 400 ODBC.INI
04.08.2006 17:35 2.048 bootstat.999.dat
04.08.2006 16:43 10.925 WINNT32.LOG
04.08.2006 16:43 254 UPGRADE.TXT
04.08.2006 16:43 178 DHCPUPG.LOG
03.08.2006 12:53 26.549 Irremote.ini
03.08.2006 12:26 14.715 KB918439-IE6SP1-20060530.145346Uninst.log
03.08.2006 12:25 13.399 KB916281-IE6SP1-20060526.162249Uninst.log
03.08.2006 12:25 12.354 KB911567-OE6SP1-20060316.165634Uninst.log
03.08.2006 12:24 10.315 KB905915-IE6SP1-20051122.175908Uninst.log
03.08.2006 12:24 6.181 KB891781Uninst.log
03.08.2006 12:23 6.094 KB890859Uninst.log
03.08.2006 12:23 2.959 KB888113Uninst.log
03.08.2006 12:20 4.409 KB888302Uninst.log
03.08.2006 12:19 2.771 KB885836Uninst.log
03.08.2006 12:16 4.729 KB885835Uninst.log
03.08.2006 12:16 2.898 KB873339Uninst.log
03.08.2006 12:13 3.927 KB842773Uninst.log
03.08.2006 12:07 5.907 KB835732Uninst.log
03.08.2006 12:01 1.443 KB822603Uninst.log
03.08.2006 11:47 300.054 spuninst.log
03.08.2006 11:29 631 avmcoins.log


Wäre echt super toll, wenn ihr mir helfen könntet, da sie den Rechner unbedingt braucht.

Danke,

Markus aka LordTux

mOIn auch

Vundo dürfte eure geringste Sorge sein, es sind/waren auf dem Rechner mehrere Schädlinge u.a.Backdoors aktiv :

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U0VD\command.exe (file missing)
O23 - Service: Windows Service Manager (csrss) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)
O23 - Service: Network Browser (NBSystem) - Unknown owner - C:\WINDOWS\system32\nbsystem.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)

damit deine Freundin nachts auch ruhig schläft, gibts nur eins --> Neuaufsetzen

MFG

Hmm... gibts keine andere lösung? Ich weiß, das Fragen viele, aber Neuaufsetzten ist aufgrund von installierter Software, die auf diesem System zur Zeit installiert leider nicht möglich. (Nein, die Orginalsoftware ist schon vorhanden, aber die Daten liegen auf der Platte und diese können aktuell nicht gesichert werden.)

Zitat:

Zitat von LordTux

Hmm... gibts keine andere lösung? Ich weiß, das Fragen viele, aber Neuaufsetzten ist aufgrund von installierter Software, die auf diesem System zur Zeit installiert leider nicht möglich. (Nein, die Orginalsoftware ist schon vorhanden, aber die Daten liegen auf der Platte und diese können aktuell nicht gesichert werden.)

Dann musst du wohl oder übel damit leben:

http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Abgesehen davon, jede (Original!)-software kann wieder installiert werden, zumal ja auch nur die Systempartition gelöscht werden muss/sollte.
Tu was du für richtig hälst, du wolltest ja wissen was mit deinem System los ist, alles weitere liegt nun in deiner Hand...

Gruß
Sunny

Ja, ich weiß, dass eine Neuinstallation immer möglich ist. Nur aufgrund dessen, dass dieser Rechner nur eine Partition hat und die Installation dieser Software ein wenig tricky ist und der Rechner leider 300km weit weg steht, also von mir wäre es mir lieb gewesen, wenn man das so hinbekommt. Wäre das mein eigener würde ich auch schnell neuinstallieren und gut ist. Deswegen fragte ich nur, ob es nicht noch eine andere Lösung gibt.

Wenn nicht, dann muß meine Freundin halt in den sauren Apfel beißen.

Trotzdem danke für Eure Mühe !

Markus

mOIn nochmal

es ist keine böswilligkeit das Neuaufstzen anzuraten nur ich weiß nicht,
ob deine Freundin mit so einer Anleitung klarkommen würde?
Wie schon gesagt, bei Backdoorbefall sollte neu installiert werden, keiner kann sagen ob und vorallem was von dritten verändert worden ist.
Du kannst ja mal nach den o.g. Einträgen googeln (nvsvc32.exe ist von NVidia - Treiber), dann kommst du sicherlich auch schnell zu der Erkenntnis, dass der Rechner neu aufgesetzt werden sollte.

MFG

Zitat:

es ist keine böswilligkeit das Neuaufsetzen anzuraten

Das weiß ich doch, hab es auch nicht negativ aufgefasst. Der Vorteil bei diesem Rechner war eigentlich, dass er nur sehr selten im Netz war und wenn eigentlich auch immer nur sehr kurz. Daher war ich davon ausgegangen, dass der Befall nicht allzuschlimm sein würde.

Zitat:

nur ich weiß nicht, ob deine Freundin mit so einer Anleitung klarkommen würde?

Das würde schon gehen. Vieles kann man ja auch am Telefon erklären. Ich hab schon einiges gegoogelt. Wir hatten es ja auch über den Vundofix probiert und auch schon einige Einträge durch Hijacksys entfernt. Diese kamen aber meistens durch einen Neustart wieder, deswegen war ich davon ausgegangen, dass ich irgendwas übersehen hatte.

Mal ne generelle Frage: Wenn im HijackSys steht:
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)

Heißt das normalerweise, dass dieses File schon gelöscht wurde? z.B. durch nen Virenscanner? Oder kann es auch sein, dass Tools diese Dateien verstecken?

mOIn nochma

Zitat:

Zitat von LordTux

Mal ne generelle Frage: Wenn im HijackSys steht:
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)
Heißt das normalerweise, dass dieses File schon gelöscht wurde? z.B. durch nen Virenscanner? Oder kann es auch sein, dass Tools diese Dateien verstecken?

Es kann sein, dass die Dateien gelöscht worden sind, ebenso kann es sich um einen Bug bei HijackThis handeln wie hier :
http://www.trojaner-board.de/showthread.php?t=32594
oben in den laufenden Prozessen ist der - r_server.exe - vorhanden unten steht file missing
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing),
es ändert leider nix an der Empfelung.

MFG