Hi,
da mein AntiVir Guard ständig den Vundo findet, aber offenbar nicht entfernen kann versuchs ichs mal hier. als pfad gibt mir AV Guard an: C:\WINDOWS\system32\ddayw.dll
hab mir schon diverse threads hier durchgelesen zu dem trojaner und auch VundoFix.exe schon runtergeladen.
nur heißt es ja überall man soll "die im forum besagten pfade angeben" drum post ich hier lieber erstmal meine logfile... just in case.

danke schonmal!


Logfile of HijackThis v1.99.1
Scan saved at 14:48:42, on 13.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Donny\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [1aonmessagecenter] C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [aonUpdate] C:\Programme\aon\aonUpdate\aonUpdate.exe /tray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126316054190
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4784/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A54645FF-C4BA-4EB5-AE58-C7BF7F66DB8E}: NameServer = 195.3.96.67,195.3.96.68
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Hallo,

hast nun den "VundoFix" schon laufen lassen ? Wenn nicht, tue das und deaktiviere vorher die Systemwiederherstellung.Google zeigt dir Seiten ,auf denen beschrieben steht, wie man das ausschaltet.
Danach läßt du deinen Scanner nochmals durchlaufen ,du solltest auch Onlinescanner nutzen,auch hierbei weiß Google wo die zu finden sind.
Berichte dann.
Irrlicht

wie gesagt. die VundoFix.exe die ich hab verlangt von mir die angabte eines pfades (nachdem ich bestätigt habe dass ichd as programm auf eigene gefahr verwende).
da ich aber keinen plan hab was ich da alles angeben muss...
reicht einfach der pfad den mir AV anzeigt? bzw was müsste ich als zweiten angeben?

das mit der sys.wiederherstellung is mir klar.

hab eben ein 2tes prgramm gefunden: FixVundo.exe (oO) von symantec, aber der findet seltsamerweise nix.

Hallo,
was der "fix" will,ist wissen wohin du ihn haben willst.
Das heißt er kennt dein Downloadverzeichniss nicht bzw.der "fix" fragt nach.Lege den "Fix" auf den Desktop,da findest du ihn am Leichtesten.....
Irrlicht

ich hab andere foreneinträge so interpretiert dass das programm wissen will wo der trojaner sitzt.
das programm fragt nach "Please Type in the filepath as instructed by the forum staff and then press enter:
" was meist n pfad im system32 ordner ist. und dann nochmal die selbe frage.


hier so ein beitrag:

Zitat:

#Nun wird folgendes angezeigt:
VundoFix V2.15 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue....
#Dann drücke auf Enter

#Nun wird folgendes angezeigt:
Please Type in the filepath as instructed by the forum staff
and then press enter:
#Bitte so eingeben oder Reinkopieren:
C:\WINDOWS\SYSTEM32\pmklj.dll

#Dann drücke auf Enter

#Nun wird folgendes angezeigt:
Please type in the second filepath as instructed by the forum
staff then press enter:
Bitte so eingeben oder Reinkopieren:
C:\WINDOWS\SYSTEM32\jlkmp.*

#Dann drücke auf Enter

#Nun wird HijackThis geöffnet!
"Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\pmklj.dll
O20 - Winlogon Notify: pmklj - C:\WINDOWS\SYSTEM32\pmklj.dll

hat sich erledigt.
hab eine neue version von VundoFix gefunden, die das ganze ohne weiters gelöst hat:
siehe hier:http://virus-protect.org/artikel/tools/vundofixx.html