Hallo,
ich habe mir gestern den Trojaner Vundo.Gen eingefangen. Nach langer Sucher hier im Forum habe ich ein Tool gefunden, mit dem ich ihn unschädlich machen konnte. Zumindest kommt keine Warnmeldung mehr. Heute kam dafür eine Meldung über ein neuen Virus. Bei der anschließenden Suche mit 2 verschieden Antivirenprogrammen hat er allerdings nichts gefunden.

Ich poste mal eine logfile, vielleicht findet ihr ja etwas:

Logfile of HijackThis v1.99.1
Scan saved at 19:06:22, on 10.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\DevNotifySvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\TopDesk Trial\topdesk.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Programme\Gemeinsame Dateien\{B02ADAB5-063C-1031-0927-050421200031}\Update.exe
C:\Programme\UberIcon\UberIcon Manager.exe
C:\Programme\YzShadow\YzShadow.exe
C:\Programme\WinRoll\winroll.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\ObjectDock\ObjectDock.exe
C:\DOKUME~1\Manu\LOKALE~1\Temp\Rar$EX01.406\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A61CBA33-F1C7-4CCE-9F6F-FBA01B38B767} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TopDesk] C:\Programme\TopDesk Trial\topdesk.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\ObjectDock\ObjectDock.exe
O4 - Global Startup: WinRoll.lnk = C:\Programme\WinRoll\winroll.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\IBM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\IBM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\IBM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {112A238F-B775-4A3A-8C3A-A2145AB9B692} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {112A238F-B775-4A3A-8C3A-A2145AB9B692} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winjyp32 - winjyp32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: DevNotifySvc - ASD - C:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\DevNotifySvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: KLBLMain - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe



Ich hätte noch eine Frage. Ich suche eine gute Firewall die die Ressourcen schont. Mir wurde gesagt die Windows Firewall auf dem neuesten Update würde ausreichen. Stimmt das?

Vielen Dank im Vorraus für eure Hilfe

mfG
Belly

Zitat:

Zitat von belly

Heute kam dafür eine Meldung über ein neuen Virus. Bei der anschließenden Suche mit 2 verschieden Antivirenprogrammen hat er allerdings nichts gefunden.

Hallo,

sieh mal bitte im letzten Report von Antivir nach wo und welcher Schädling gefunden wurde.
(genaue Pfad-/Verzeichnisangabe)
Ansonsten melde dich beim nächsten Fund und schreibe es in einem Beitrag.

Zitat:

Ich hätte noch eine Frage. Ich suche eine gute Firewall die die Ressourcen schont. Mir wurde gesagt die Windows Firewall auf dem neuesten Update würde ausreichen. Stimmt das?

Richtig, das stimmt. Lies dich dazu mal hier ein -> http://www.dingens.org/
Mit der Konfiguration nach Dingens.org, einem Antivirenscanner (welcher uptodate ist!), und der Windowsfirewall, besteht schon ein guter Schutz! (natürlich angemessen am Surfverhalten!)

Dein Logfile sieht meiner Ansicht nach gut aus, bis auf ein paar Kleinigkeiten, welche du aber einfach fixen kannst mit Hijackthis:
(sind keine Schädlinge, sondern nur Überreste!)

Zitat:

O20 - Winlogon Notify: winjyp32 - winjyp32.dll (file missing) "<-das war VUNDO"
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - (no file)
O2 - BHO: (no name) - {A61CBA33-F1C7-4CCE-9F6F-FBA01B38B767} - (no file)

Gruß
Sunny

Hallo,
noch eine kleine Anmerkung.....das da :

Zitat:

O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {112A238F-B775-4A3A-8C3A-A2145AB9B692} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {112A238F-B775-4A3A-8C3A-A2145AB9B692} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

sagt mir du nutzt/hast benutzt "XP Antispy".Ist nicht so der Bringer dieses Proggi...
Die schließt dich unter Umständen von den MS-Updates aus und verhinderst die Idendifikation deines BS.
Für Leute mit paranoiden Verfolgungswahn im fortgeschrittenen Stadium,mag das in Ordnung sein.....
Aufgeklärte User haben bestenfalls ein mitleidiges Lächeln für das Proggi übrig...
Irrlicht

Zitat:

Zitat von irrlicht

Hallo,
noch eine kleine Anmerkung.....das da :


sagt mir du nutzt/hast benutzt "XP Antispy".Ist nicht so der Bringer dieses Proggi...

Danke :aplaus: irrlicht,

genau das habe ich meinem Post vergessen zu erwähnen, mit fiel es auch erst im Nachhinein ein

Gruß

Nochmal hallo,
haben wir nicht erst vor Kurzem diese Datei als "Stinker " entlarvt ?
Ich meine mich gaaanz dunkel zu erinnern....

Zitat:

C:\Programme\Gemeinsame Dateien\{B02ADAB5-063C-1031-0927-050421200031}\Update.exe

ob wohl mal ein "reinguck" bei www.virustotal anzuraten wäre..?
Irrlicht