|
Plagegeister aller Art und deren Bekämpfung: Vundo.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
31.08.2007, 22:32 | #1 |
| Vundo.Gen Hi hab mir das ding hier eingefangen und krieg es im safe mode nicht raus, hier der HJT Log Logfile of HijackThis v1.99.1 Scan saved at 23:31:26, on 31.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\ATKKBService.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre1.5.0_09\bin\jusched.exe D:\PSStarter\3.0\Apps\apdproxy.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\QuickTime\qttask.exe D:\Programme\iTunes\iTunesHelper.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe D:\Programme\PDFree\MoTMgr.EXE C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\MSN Messenger\usnsvc.exe C:\DOKUME~1\Barbara\LOKALE~1\Temp\AutoRun.exe C:\Programme\Windows NT\Zubehör\WORDPAD.EXE C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe D:\Hj2000.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://sww.stusta.mhn.de/proxy.pac O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {90A71BF1-70AF-4830-A9B8-6D1B4EDF7378} - C:\WINDOWS\system32\vtsqq.dll (file missing) O2 - BHO: (no name) - {A3624CF3-54E1-4FD0-88EF-F9BDF3979F3A} - C:\WINDOWS\system32\fccywvt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\PSStarter\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [navapp] C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [GameFace Messenger] C:\Programme\GameFace Messenger\GameFace.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: MoTechno - protection manager.lnk = D:\Programme\PDFree\MoTMgr.EXE O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Download Using &BitSpirit - C:\Programme\BitSpirit\bsurl.htm O8 - Extra context menu item: Ebates. - file://C:\Programme\EbatesMoeMoneyMaker4\ebatessmmm\ebatestmmm\ebmmC0.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Ebates - {F2B441CC-E026-47fb-BDC3-A07750FA3D2C} - file://C:\Programme\EbatesMoeMoneyMaker4\ebatessmmm\ebatestmmm\ebmmC0.htm (file missing) (HKCU) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: fccywvt - C:\WINDOWS\SYSTEM32\fccywvt.dll O20 - Winlogon Notify: vtsqq - C:\WINDOWS\system32\vtsqq.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Danke schonmal für die Hilfe |
31.08.2007, 22:47 | #2 |
> MalwareDB | Vundo.Gen Vundofix
__________________* Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. * nach dem neustart, navigierst du zur datei C:\vundofix.txt, poste den inhalt * erstelle ein neues hjt-logfile und poste es. Bata |
31.08.2007, 23:05 | #3 |
| Vundo.Gen Gleich beim neustart hat sich antivir wieder mit nem vundo.gen fund gemeldet!
__________________VundoFix V6.5.7 Checking Java version... Sun Java not detected Scan started at 23:58:56 31.08.2007 Listing files found while scanning.... C:\WINDOWS\system32\qqstv.bak1 C:\WINDOWS\system32\qqstv.ini C:\WINDOWS\system32\qqstv.ini2 C:\WINDOWS\system32\qqstv.tmp C:\WINDOWS\system32\vtsqq.dll Beginning removal... Attempting to delete C:\WINDOWS\system32\qqstv.bak1 C:\WINDOWS\system32\qqstv.bak1 Has been deleted! Attempting to delete C:\WINDOWS\system32\qqstv.ini C:\WINDOWS\system32\qqstv.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\qqstv.ini2 C:\WINDOWS\system32\qqstv.ini2 Has been deleted! Attempting to delete C:\WINDOWS\system32\qqstv.tmp C:\WINDOWS\system32\qqstv.tmp Has been deleted! Performing Repairs to the registry. Done! |
31.08.2007, 23:07 | #4 |
| Vundo.Gen Vundofix findet auch noch im system32\vtsqq.dll kann die datei im explorer aber nicht sehen HJT log: Logfile of HijackThis v1.99.1 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] Geändert von Keline (31.08.2007 um 23:13 Uhr) |
01.09.2007, 00:29 | #5 |
| Vundo.Gen O20 - Winlogon Notify: fccywvt - C:\WINDOWS\SYSTEM32\fccywvt.dll das wird von AntiVir auch noch als Vundo.Gen identifiziert, von Vundofix aber nicht |
01.09.2007, 09:18 | #6 |
> MalwareDB | Vundo.Gen Gehe wiefolgt vor Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind. O20 - Winlogon Notify: fccywvt - C:\WINDOWS\SYSTEM32\fccywvt.dll dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus. Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden): C:\WINDOWS\SYSTEM32\fccywvt.dll 1. Vor dem Listen der Dateien räumen wir Deinen Rechner etwas auf. - Lade Cleanup, führe es wie hier beschrieben aus.2. Die Stapelverabeitungsdatei laden und ausführen - Lade Dir die complete.bat von hier3. Insgesamt werden neun Log Dateien erstellt. Zum Ausführen der Datei benötigt man Administrationsrechte. - Den Inhalt der Logdateien als [code][/code] posten. Es werden nur die Dateien/Ordner der letzten 30 Tage zur Auswertung benötigt. |?| : Wofür Cleanup?________________________________________________________________________ Cleanup löscht Temporäre Internetdateien, den Papierkorb und den Prefetchordner. Dies ist sinnvoll um das zu postende Dateivolumen zu verringern.|?| : Wofür complete.bat? Manchmal befinden sich Dateien auf dem Rechner, die von Viren, Spyware oder Backdoors abgelegt wurden und welche ein Antivirenscanner nicht auf Anhieb findet. Deshalb hat virus-protect diese bat-Datei erstellt, um nachzuprüfen, was sich in Windows\System32, Windows und C:\ und den temporären Dateien, C:\Programme, C:\WINDOWS\Prefetch befindet.Bata |
01.09.2007, 09:50 | #7 |
| Vundo.Gen Der Text, den Sie eingegeben haben, besteht aus 134378 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen. hab ich was zuviel gemacht? |
01.09.2007, 09:52 | #8 | |
> MalwareDB | Vundo.GenZitat:
Und es können auch zwei posts werden. Bata |
01.09.2007, 10:01 | #9 |
| Vundo.Gen Danke schonmal für deine Hilfe, ich fühle mich schon viel sicherer jetzt wo meien AV nicht ständig schreit LOL Code:
ATTFilter Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 541C-3B3F Verzeichnis von C:\ 01.09.2007 10:46 0 DC.txt 31.08.2007 22:01 0 Neu Textdokument.txt 27.08.2007 12:38 1.257 sti.log 01.09.2007 10:28 2.000 VundoFix.txt 16 Datei(en) 1.611.086.991 Bytes 0 Verzeichnis(se), 79.088.156.672 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 541C-3B3F Verzeichnis von C:\ 01.09.2007 09:49 <DIR> !KillBox 01.09.2007 01:08 <DIR> $VAULT$.AVG 01.09.2007 09:48 <DIR> Avenger 01.09.2007 01:37 <DIR> Config.Msi 31.08.2007 16:10 <DIR> pdf995 31.08.2007 22:32 <DIR> Program Files 01.09.2007 10:33 <DIR> Programme 01.09.2007 10:37 <DIR> Temp 01.09.2007 10:26 <DIR> VundoFix Backups 01.09.2007 10:37 <DIR> WINDOWS 0 Datei(en) 0 Bytes 20 Verzeichnis(se), 79.088.091.136 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 541C-3B3F Verzeichnis von C:\Programme Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 541C-3B3F Verzeichnis von C:\Programme 01.09.2007 10:33 <DIR> . 01.09.2007 10:33 <DIR> .. 01.09.2007 01:17 <DIR> AntiVir PersonalEdition Classic 01.09.2007 10:33 <DIR> CleanUp! 01.09.2007 01:45 <DIR> Gemeinsame Dateien 27.08.2007 12:07 <DIR> InstallShield Installation Information 15.08.2007 19:12 <DIR> Internet Explorer 02.08.2007 23:10 <DIR> World of Warcraft 0 Datei(en) 0 Bytes 72 Verzeichnis(se), 79.088.087.040 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 541C-3B3F Verzeichnis von C:\WINDOWS 01.09.2007 10:44 1.987.463 WindowsUpdate.log 01.09.2007 10:42 0 0.log 01.09.2007 10:42 159 wiadebug.log 01.09.2007 10:42 50 wiaservc.log 01.09.2007 10:42 2.048 bootstat.dat 01.09.2007 10:41 32.578 SchedLgU.Txt 01.09.2007 01:43 392.615 setupapi.log 31.08.2007 23:13 212.868 ntbtlog.txt 31.08.2007 22:03 69 NeroDigital.ini 31.08.2007 16:10 49 wpd99.drv 30.08.2007 17:34 17.465 wmsetup.log 29.08.2007 14:50 110.293 iis6.log 29.08.2007 14:50 270.177 tsoc.log 29.08.2007 14:50 243.748 comsetup.log 29.08.2007 14:50 1.374 imsins.log 29.08.2007 14:50 146.068 ntdtcsetup.log 29.08.2007 14:50 38.847 ocmsn.log 29.08.2007 14:50 21.423 KB933360.log 29.08.2007 14:50 35.170 msgsocm.log 29.08.2007 14:50 338.361 ocgen.log 29.08.2007 14:50 697.849 FaxSetup.log 27.08.2007 12:17 364.764 DirectX.log 15.08.2007 19:28 38.503 spupdsvc.log 15.08.2007 19:13 1.374 imsins.BAK 15.08.2007 19:13 15.120 KB936021.log 15.08.2007 19:13 42.944 updspapi.log 15.08.2007 19:13 14.305 KB938828.log 15.08.2007 19:13 14.453 KB921503.log 15.08.2007 19:13 14.252 KB938829.log 15.08.2007 19:12 14.013 KB938127.log 15.08.2007 19:12 17.968 KB937143.log 15.08.2007 19:12 289.356 msxml4-KB936181-enu.LOG 15.08.2007 19:11 5.067 KB936782.log 231 Datei(en) 18.733.935 Bytes 0 Verzeichnis(se), 79.088.070.656 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 541C-3B3F Verzeichnis von C:\WINDOWS 15.08.2007 19:13 <DIR> $NtUninstallKB921503$ 29.08.2007 14:50 <DIR> $NtUninstallKB933360$ 15.08.2007 19:13 <DIR> $NtUninstallKB936021$ 15.08.2007 19:11 <DIR> $NtUninstallKB936782_WMP11$ 15.08.2007 19:12 <DIR> $NtUninstallKB937143$ 15.08.2007 19:12 <DIR> $NtUninstallKB938127$ 15.08.2007 19:13 <DIR> $NtUninstallKB938828$ 15.08.2007 19:13 <DIR> $NtUninstallKB938829$ 27.08.2007 12:17 <DIR> assembly Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 541C-3B3F Verzeichnis von C:\DOKUME~1\Barbara\LOKALE~1\Temp 01.09.2007 10:48 0 jupdate1.5.0.xml 01.09.2007 10:48 510 jusched.log 01.09.2007 10:44 512 ~DF142.tmp 01.09.2007 10:44 327.680 ~DF21.tmp 01.09.2007 10:44 512 ~DF7E31.tmp 01.09.2007 10:44 327.680 ~DF79EC.tmp 01.09.2007 10:43 16.384 ~DFEE1B.tmp 01.09.2007 10:43 512 ~DFC42C.tmp 01.09.2007 10:43 16.384 ~DFC3EF.tmp 01.09.2007 10:43 16.384 ~DFEE80.tmp 10 Datei(en) 706.558 Bytes 0 Verzeichnis(se), 79.087.874.048 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 541C-3B3F Verzeichnis von C:\WINDOWS\Prefetch 01.09.2007 10:48 14.084 NOTEPAD.EXE-336351A9.pf 01.09.2007 10:48 24.748 JUCHECK.EXE-088F15E6.pf 01.09.2007 10:48 8.414 JAVA.EXE-06005739.pf 01.09.2007 10:46 15.126 CMD.EXE-087B4001.pf 01.09.2007 10:46 11.936 VERCLSID.EXE-3667BD89.pf 01.09.2007 10:45 64.318 FIREFOX.EXE-28BE8AE1.pf 01.09.2007 10:44 13.552 GETPOPUPINFO.EXE-01E7AAF8.pf 01.09.2007 10:44 49.512 USNSVC.EXE-1D8C2356.pf 01.09.2007 10:44 75.156 COMPONENTLAUNCHER.EXE-268CD12F.pf 01.09.2007 10:44 20.104 WUAUCLT.EXE-399A8E72.pf 01.09.2007 10:43 2.666 MOTMGR.EXE-01ED8344.pf 01.09.2007 10:43 12.422 WINCINEMAMGR.EXE-04A7509F.pf 01.09.2007 10:43 14.428 NMIndexStoreSvr.exe-1DBCF9FD.pf 01.09.2007 10:43 10.166 READER_SL.EXE-36135169.pf 01.09.2007 10:43 14.986 NMINDEXINGSERVICE.EXE-19799BA6.pf 01.09.2007 10:43 11.586 NMBGMONITOR.EXE-0BC10095.pf 01.09.2007 10:43 29.702 ICQLITE.EXE-2AEFACA7.pf 01.09.2007 10:43 21.632 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf 01.09.2007 10:43 13.240 SMARTDOCTOR.EXE-06E70190.pf 01.09.2007 10:43 24.826 MSNMSGR.EXE-091111D0.pf 01.09.2007 10:43 17.876 ADOBEUPDATEMANAGER.EXE-2BB88D51.pf 01.09.2007 10:43 11.034 ITUNESHELPER.EXE-1CC2818B.pf 01.09.2007 10:43 8.746 QTTASK.EXE-2D7EEF34.pf 01.09.2007 10:43 11.156 FPASSIST.EXE-18368AA2.pf 01.09.2007 10:43 10.186 NWIZ.EXE-2D0F9FBC.pf 01.09.2007 10:43 14.874 DAEMON.EXE-28AD7272.pf 01.09.2007 10:43 16.618 REALSCHED.EXE-0A2A7558.pf 01.09.2007 10:43 39.592 APDPROXY.EXE-38521768.pf 01.09.2007 10:43 7.682 NEROCHECK.EXE-1BD71082.pf 01.09.2007 10:43 903.418 NTOSBOOT-B00DFAAD.pf 30 Datei(en) 1.493.786 Bytes 0 Verzeichnis(se), 79.087.656.960 Bytes frei |
02.09.2007, 11:04 | #10 |
> MalwareDB | Vundo.Gen Lösche die Ordner C:\!KillBox C:\VundoFix Backups Dann: Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Boote im abgesicherten Modus -Starte es dann und lass das System Reinigen. (Option 2) -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt Poste und berichte. Bata |
09.09.2007, 21:24 | #11 |
| Vundo.Gen Ergebnis des rapport TXT. Scan liefert keine Funde. mitFraudFix v2.219 Scan done at 22:21:56,34, 09.09.2007 Run from C:\Dokumente und Einstellungen\Barbara\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{6508FF90-A072-4253-B915-05BBBDFDBBEB}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{6508FF90-A072-4253-B915-05BBBDFDBBEB}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{6508FF90-A072-4253-B915-05BBBDFDBBEB}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
09.09.2007, 21:27 | #12 |
> MalwareDB | Vundo.Gen Ok erstelle ein neues HJT Log. Wichtig: Benenne HJT in irgendwas.com um! Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Suche die Datei HiJackThis.exe und benenne sie um in 'This.com' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.com -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) - Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest. - Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
10.09.2007, 06:12 | #13 |
| Vundo.Gen Hab nur einen Link gefunden. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:11:54, on 10.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_09\bin\jusched.exe D:\PSStarter\3.0\Apps\apdproxy.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\QuickTime\qttask.exe D:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\RUNDLL32.EXE D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\ATKKBService.exe D:\Programme\PDFree\MoTMgr.EXE D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\iPod\bin\iPodService.exe D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe D:\Programme\iTunes\iTunes.exe C:\Programme\MSN Messenger\usnsvc.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Dokumente und Einstellungen\Barbara\Desktop\this.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://**stusta.mhn.de/proxy.pac O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {90A71BF1-70AF-4830-A9B8-6D1B4EDF7378} - C:\WINDOWS\system32\vtsqq.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\PSStarter\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [navapp] C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe |
10.09.2007, 06:31 | #14 |
> MalwareDB | Vundo.Gen Dein Log ist warum auch immer unvollständig. Bitte erstelle ein neues Log, lass HJT erst ganz durchlaufen.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
Themen zu Vundo.Gen |
adobe, alert, antivir, avira, bho, computer, downloader, explorer, firefox, google, hijack, hijackthis, internet, internet explorer, mozilla, mozilla firefox, nvidia, rundll, server, software, system, temp, vundo.gen, windows, windows xp |