TrojanVundo

christine_n · 03.09.2007, 11:53

Hallo!

Ich bin neu hier im Forum, habe mir eure Tutorials durchgelesen und hoffe ich gehe nun richtig vor. Ansonsten hoffe ich, dass ihr ein wenig Nachsicht habt mit einem Neuling.

Ich bin gerade im Heimaturlaub und sitze am Rechner meiner Mutter, die sich damit leider viel zu wenig auskennt und sich meines Erachtens den Trojaner Vundo.Gen geholt hat. Bei meinen ersten Durchläufen mit Ad Aware wurden 106 Infizierungen gefunden!! Und auch bei weiteren Durchläufen mit Spyware Doctor und dem Avira Scanner wurden noch einige gefunden.
Mir ist es selbst ein Rätsel, wie diese ganzen Viren auf den Rechner kommen konnten.

Es öffnen sich dauernd Popup-Fenster, in denen darum gebeten wird irgendwelche kostenpflichtigen Antivirenprogramme zu installieren.

Avira AntVir brachte in unregelmäßigen Zeitabständen die Meldung, dass folgende Dateien eine Bedrohung für das System darstellen. Leider muss ich zugeben (wie man im Hijack-Log erkennen kann), dass ich mich davor nicht ausgiebig über die Dateien und das Problem informiert hatte und gab dem Programm den Befehl, diese Dateien zu löschen. Ich hoffe dadurch wurden nicht wichtige Systemdateien entfernt?

Hier die Dateien:
C:\WINDOWS\system32\awvvu.dll
C:\WINDOWS\SYSTEM32\urqoppq.dll

Danke für die Hilfe!
Hier das Hijack-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:27:54, on 03.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\regsvr32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.fujitsu-siemens.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {318C257F-4C0A-4500-8998-DCF52F011824} - C:\WINDOWS\system32\mllmm.dll (file missing)
O2 - BHO: (no name) - {39C6B6C8-E01E-3175-B583-04FDA1EE088B} - C:\Programme\Zyrfegih\kulyastm.dll
O2 - BHO: (no name) - {435D08DD-665E-474F-B977-5EE75A2BDCB2} - C:\WINDOWS\system32\urqoppq.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [pubyxcha] rundll32.exe "C:\Programme\pubyxcha\nmryleli.dll",Init
O4 - HKLM\..\Run: [stmhgzyx] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stmhgzyx.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Device Detection] C:\Programme\Aldi Sued Fotoservice\dd.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.fujitsu-siemens.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{51638461-CB7A-4522-B400-B264F2BC7937}: NameServer = 192.168.150.10
O20 - Winlogon Notify: awvvu - C:\WINDOWS\system32\awvvu.dll (file missing)
O20 - Winlogon Notify: cbxwttq - cbxwttq.dll (file missing)
O20 - Winlogon Notify: mllmm - C:\WINDOWS\system32\mllmm.dll (file missing)
O20 - Winlogon Notify: urqoppq - C:\WINDOWS\SYSTEM32\urqoppq.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

BataAlexander · 03.09.2007, 12:00

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
* nach dem neustart, navigierst du zur datei C:\vundofix.txt, poste den inhalt
* C:\VundoFix Backups - löschen + Papierkorb leeren
* erstelle ein neues hjt-logfile und poste es.

Bata

christine_n · 03.09.2007, 12:23

danke für die schnelle hilfe.

hier der inhalt der vundofix.txt:

VundoFix V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 13:09:28 03.09.2007

Listing files found while scanning....

C:\WINDOWS\system32\mllmm.dll
C:\WINDOWS\system32\mmllm.bak1
C:\WINDOWS\system32\mmllm.bak2
C:\WINDOWS\system32\mmllm.ini
C:\WINDOWS\system32\mmllm.ini2
C:\WINDOWS\system32\mmllm.tmp

Beginning removal...

Attempting to delete C:\WINDOWS\system32\mmllm.bak1
C:\WINDOWS\system32\mmllm.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\mmllm.bak2
C:\WINDOWS\system32\mmllm.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\mmllm.ini
C:\WINDOWS\system32\mmllm.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\mmllm.ini2
C:\WINDOWS\system32\mmllm.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\mmllm.tmp
C:\WINDOWS\system32\mmllm.tmp Has been deleted!

Performing Repairs to the registry.
Done!

und das neue hijackthis-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:27:04, on 03.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\regsvr32.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.fujitsu-siemens.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {318C257F-4C0A-4500-8998-DCF52F011824} - C:\WINDOWS\system32\mllmm.dll (file missing)
O2 - BHO: (no name) - {39C6B6C8-E01E-3175-B583-04FDA1EE088B} - C:\Programme\Zyrfegih\kulyastm.dll
O2 - BHO: (no name) - {435D08DD-665E-474F-B977-5EE75A2BDCB2} - C:\WINDOWS\system32\urqoppq.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [pubyxcha] rundll32.exe "C:\Programme\pubyxcha\nmryleli.dll",Init
O4 - HKLM\..\Run: [stmhgzyx] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stmhgzyx.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Device Detection] C:\Programme\Aldi Sued Fotoservice\dd.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.fujitsu-siemens.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{51638461-CB7A-4522-B400-B264F2BC7937}: NameServer = 192.168.150.10
O20 - Winlogon Notify: awvvu - C:\WINDOWS\system32\awvvu.dll (file missing)
O20 - Winlogon Notify: cbxwttq - cbxwttq.dll (file missing)
O20 - Winlogon Notify: mllmm - C:\WINDOWS\system32\mllmm.dll (file missing)
O20 - Winlogon Notify: urqoppq - C:\WINDOWS\SYSTEM32\urqoppq.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

cosinus · 03.09.2007, 15:08

Da ist noch mehr Mist im System:

C:\Programme\Zyrfegih\kulyastm.dll
C:\WINDOWS\system32\urqoppq.dll
C:\Programme\pubyxcha\nmryleli.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stmhgzyx.dll

Werte diese Dateien bitte online bei Virustotal aus und poste die Ergebnisse.
Mach auch bitte einen Check mit Blacklight und poste das Logfile.

BataAlexander · 03.09.2007, 18:25

Gehe nach cosinus Schritten wie folgt vor, gehört alles noch zu Vundo

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O2 - BHO: (no name) - {318C257F-4C0A-4500-8998-DCF52F011824} - C:\WINDOWS\system32\mllmm.dll (file missing)
O2 - BHO: (no name) - {39C6B6C8-E01E-3175-B583-04FDA1EE088B} - C:\Programme\Zyrfegih\kulyastm.dll
O2 - BHO: (no name) - {435D08DD-665E-474F-B977-5EE75A2BDCB2} - C:\WINDOWS\system32\urqoppq.dll
O4 - HKLM\..\Run: [pubyxcha] rundll32.exe "C:\Programme\pubyxcha\nmryleli.dll",Init
O4 - HKLM\..\Run: [stmhgzyx] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stmhgzyx.dll"
O20 - Winlogon Notify: awvvu - C:\WINDOWS\system32\awvvu.dll (file missing)
O20 - Winlogon Notify: cbxwttq - cbxwttq.dll (file missing)
O20 - Winlogon Notify: mllmm - C:\WINDOWS\system32\mllmm.dll (file missing)
O20 - Winlogon Notify: urqoppq - C:\WINDOWS\SYSTEM32\urqoppq.dll

dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.

Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien/Ordner (wenn vorhanden):

C:\WINDOWS\SYSTEM32\urqoppq.dll
C:\WINDOWS\system32\mllmm.dll
cbxwttq.dll
C:\WINDOWS\system32\awvvu.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stmhgzyx.dll
C:\Programme\pubyxcha\nmryleli.dll
C:\Programme\pubyxcha
C:\WINDOWS\system32\urqoppq.dll
C:\Programme\Zyrfegih\kulyastm.dll
C:\Programme\Zyrfegih
C:\WINDOWS\system32\mllmm.dll

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Bata

cosinus · 03.09.2007, 23:53

Sorry Alex.

Ich will dir nichts zwischen dir Hörner werfen, aber bist du dir sicher, dass alles noch zu Vundo gehört?

So ein fieses Logfile hab ich schon lange nicht mehr gesehen.

christine_n · 04.09.2007, 13:51

Ok, zunächst hier mal die Auswertungen von VirusTotal für cosinus:

1.) C:\Programme\Zyrfegih\kulyastm.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.4.1 2007.09.04 -
AntiVir 7.4.1.66 2007.09.04 HEUR/Crypted
Authentium 4.93.8 2007.09.04 -
Avast 4.7.1029.0 2007.09.04 -
AVG 7.5.0.485 2007.09.04 -
BitDefender 7.2 2007.09.04 -
CAT-QuickHeal 9.00 2007.09.03 -
ClamAV 0.91.2 2007.09.04 -
DrWeb 4.33 2007.09.04 -
eSafe 7.0.15.0 2007.09.03 -
eTrust-Vet 31.1.5107 2007.09.04 -
Ewido 4.0 2007.09.04 -
FileAdvisor 1 2007.09.04 -
Fortinet 3.11.0.0 2007.09.04 -
F-Prot 4.3.2.48 2007.09.04 -
F-Secure 6.70.13030.0 2007.09.04 -
Ikarus T3.1.1.12 2007.09.04 -
Kaspersky 4.0.2.24 2007.09.04 -
McAfee 5111 2007.09.03 -
Microsoft 1.2803 2007.09.04 -
NOD32v2 2502 2007.09.04 -
Norman 5.80.02 2007.09.04 -
Panda 9.0.0.4 2007.09.04 -
Prevx1 V2 2007.09.04 KickStart:Trojan-S
Rising 19.39.12.00 2007.09.04 -
Sophos 4.21.0 2007.09.04 -
Sunbelt 2.2.907.0 2007.08.31 -
Symantec 10 2007.09.04 -
TheHacker 6.1.9.177 2007.09.04 -
VBA32 3.12.2.3 2007.09.03 -
VirusBuster 4.3.26:9 2007.09.03 -
Webwasher-Gateway 6.0.1 2007.09.04 Heuristic.Crypted
weitere Informationen
File size: 98304 bytes
MD5: 17e67f2de0403b0846a5d6112ac9e7f5
SHA1: c06adc1929105e634d62d17c491870ac581f170b
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=9E521E4500472B6580CD01DC7895C40030ECEC7A

2.) C:\WINDOWS\system32\urqoppq.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.4.1 2007.09.04 -
AntiVir 7.4.1.66 2007.09.04 TR/Vundo.Gen
Authentium 4.93.8 2007.09.04 -
Avast 4.7.1029.0 2007.09.04 -
AVG 7.5.0.485 2007.09.04 Adware Generic2.OVQ
BitDefender 7.2 2007.09.04 Trojan.Vundo.DMV
CAT-QuickHeal 9.00 2007.09.03 -
ClamAV 0.91.2 2007.09.04 -
DrWeb 4.33 2007.09.04 Trojan.Virtumod.206
eSafe 7.0.15.0 2007.09.03 Suspicious Trojan/Worm
eTrust-Vet 31.1.5107 2007.09.04 Win32/Vundo!generic
Ewido 4.0 2007.09.04 -
FileAdvisor 1 2007.09.04 -
Fortinet 3.11.0.0 2007.09.04 Adware/VirtuMonde
F-Prot 4.3.2.48 2007.09.04 -
F-Secure 6.70.13030.0 2007.09.04 Trojan-PSW.Win32.OnLineGames.bmm
Ikarus T3.1.1.12 2007.09.04 not-a-virus:AdWare.Win32.Virtumonde.jp
Kaspersky 4.0.2.24 2007.09.04 Trojan-PSW.Win32.OnLineGames.bmm
McAfee 5111 2007.09.03 -
Microsoft 1.2803 2007.09.04 -
NOD32v2 2502 2007.09.04 -
Norman 5.80.02 2007.09.04 W32/Vundo.dam
Panda 9.0.0.4 2007.09.04 Suspicious file
Prevx1 V2 2007.09.04 Generic.Malware
Rising 19.39.12.00 2007.09.04 -
Sophos 4.21.0 2007.09.04 Virtumundo
Sunbelt 2.2.907.0 2007.08.31 VIPRE.Suspicious
Symantec 10 2007.09.04 Adware.VirtuMonde
TheHacker 6.1.9.177 2007.09.04 Adware/Virtumonde.jp
VBA32 3.12.2.3 2007.09.03 -
VirusBuster 4.3.26:9 2007.09.03 Adware.Vundo.P.Gen
Webwasher-Gateway 6.0.1 2007.09.04 Trojan.Vundo.Gen
weitere Informationen
File size: 43542 bytes
MD5: 819e50d545132cccfdc3d38fc5b92459
SHA1: d024ec235ec2c2830f32bbcffbe674518b74f87b
packers: PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=04B3B6FF16D7DB48AA5700736A3EFA00BBBEF967
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

3.) C:\Programme\pubyxcha\nmryleli.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.4.1 2007.09.04 -
AntiVir 7.4.1.66 2007.09.04 HEUR/Crypted
Authentium 4.93.8 2007.09.04 -
Avast 4.7.1029.0 2007.09.04 -
AVG 7.5.0.485 2007.09.04 -
BitDefender 7.2 2007.09.04 -
CAT-QuickHeal 9.00 2007.09.03 -
ClamAV 0.91.2 2007.09.04 -
DrWeb 4.33 2007.09.04 -
eSafe 7.0.15.0 2007.09.03 -
eTrust-Vet 31.1.5107 2007.09.04 -
Ewido 4.0 2007.09.04 -
FileAdvisor 1 2007.09.04 -
Fortinet 3.11.0.0 2007.09.04 -
F-Prot 4.3.2.48 2007.09.04 -
F-Secure 6.70.13030.0 2007.09.04 -
Ikarus T3.1.1.12 2007.09.04 -
Kaspersky 4.0.2.24 2007.09.04 -
McAfee 5111 2007.09.03 -
Microsoft 1.2803 2007.09.04 -
NOD32v2 2502 2007.09.04 -
Norman 5.80.02 2007.09.04 -
Panda 9.0.0.4 2007.09.04 -
Prevx1 V2 2007.09.04 KickStart:Trojan-S
Rising 19.39.12.00 2007.09.04 -
Sophos 4.21.0 2007.09.04 -
Sunbelt 2.2.907.0 2007.08.31 -
Symantec 10 2007.09.04 -
TheHacker 6.1.9.177 2007.09.04 -
VBA32 3.12.2.3 2007.09.03 -
VirusBuster 4.3.26:9 2007.09.03 -
Webwasher-Gateway 6.0.1 2007.09.04 Heuristic.Crypted
weitere Informationen
File size: 46592 bytes
MD5: 9ff39effcdff89284370a4a9f9c1a2bc
SHA1: 38322f3598319bfa683b1ee02a95e4aeabb23c0e
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=E2C8226A00F816DDB68100D09522280018E4556B

4.) C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stmhgzyx.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.4.1 2007.09.04 -
AntiVir 7.4.1.66 2007.09.04 HEUR/Crypted
Authentium 4.93.8 2007.09.04 -
Avast 4.7.1029.0 2007.09.04 -
AVG 7.5.0.485 2007.09.04 -
BitDefender 7.2 2007.09.04 -
CAT-QuickHeal 9.00 2007.09.03 -
ClamAV 0.91.2 2007.09.04 -
DrWeb 4.33 2007.09.04 -
eSafe 7.0.15.0 2007.09.03 -
eTrust-Vet 31.1.5107 2007.09.04 -
Ewido 4.0 2007.09.04 -
FileAdvisor 1 2007.09.04 -
Fortinet 3.11.0.0 2007.09.04 -
F-Prot 4.3.2.48 2007.09.04 -
F-Secure 6.70.13030.0 2007.09.04 -
Ikarus T3.1.1.12 2007.09.04 -
Kaspersky 4.0.2.24 2007.09.04 -
McAfee 5111 2007.09.03 -
Microsoft 1.2803 2007.09.04 -
NOD32v2 2502 2007.09.04 -
Norman 5.80.02 2007.09.04 -
Panda 9.0.0.4 2007.09.04 -
Prevx1 V2 2007.09.04 KickStart:Trojan-S
Rising 19.39.12.00 2007.09.04 -
Sophos 4.21.0 2007.09.04 -
Sunbelt 2.2.907.0 2007.08.31 -
Symantec 10 2007.09.04 -
TheHacker 6.1.9.177 2007.09.04 -
VBA32 3.12.2.3 2007.09.03 -
VirusBuster 4.3.26:9 2007.09.03 -
Webwasher-Gateway 6.0.1 2007.09.04 Heuristic.Crypted
weitere Informationen
File size: 98304 bytes
MD5: 17e67f2de0403b0846a5d6112ac9e7f5
SHA1: c06adc1929105e634d62d17c491870ac581f170b
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=9E521E4500472B6580CD01DC7895C40030ECEC7A

und hier das Logfile von blacklight:

09/04/07 14:33:38 [Info]: BlackLight Engine 1.0.64 initialized
09/04/07 14:33:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/04/07 14:33:38 [Note]: 7019 4
09/04/07 14:33:38 [Note]: 7005 0
09/04/07 14:34:01 [Note]: 7006 0
09/04/07 14:34:01 [Note]: 7011 1720
09/04/07 14:34:01 [Note]: 7026 0
09/04/07 14:34:01 [Note]: 7026 0
09/04/07 14:34:01 [Note]: 7024 3
09/04/07 14:34:01 [Info]: Hidden process: C:\windows\system32\nynyhd.exe
09/04/07 14:34:03 [Note]: FSRAW library version 1.7.1022
09/04/07 14:34:55 [Info]: Hidden file: c:\WINDOWS\system32\nynyhd.dat
09/04/07 14:34:55 [Note]: 10002 1
09/04/07 14:34:55 [Info]: Hidden file: C:\windows\system32\nynyhd.exe
09/04/07 14:34:56 [Note]: 10002 1
09/04/07 14:34:56 [Info]: Hidden file: c:\WINDOWS\system32\nynyhd_nav.dat
09/04/07 14:34:56 [Note]: 10002 1
09/04/07 14:34:56 [Info]: Hidden file: c:\WINDOWS\system32\nynyhd_navps.dat
09/04/07 14:34:56 [Note]: 10002 1
09/04/07 14:38:38 [Note]: 7007 0

christine_n · 04.09.2007, 14:20

Habe jetzt wie Bata gesagt hat, die Klickboxen in HijackThis ausgewählt und gefixed, dann den Pc im abgesicherten Modus gestartet.

C:\WINDOWS\SYSTEM32\urqoppq.dll - konnte ich nicht löschen!
C:\WINDOWS\system32\mllmm.dll - war nicht vorhanden
cbxwttq.dll - war nicht vorhaden
C:\WINDOWS\system32\awvvu.dll - war nicht vorhanden
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stmhgzyx.dll - habe ich gelöscht
C:\Programme\pubyxcha\nmryleli.dll - habe ich gelöscht
C:\Programme\pubyxcha - habe ich gelöscht
C:\Programme\Zyrfegih\kulyastm.dll - habe ich gelöscht
C:\Programme\Zyrfegih - habe ich gelöscht

und hier die Inhalte der filelist.txt:

(die Liste von C:/WINDOWS/Temp ist wahnsinnig lang!! Wollt ihr die wirklich von den letzten 30 Tagen?)

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\

04.09.2007 15:08 1.005.240.320 hiberfil.sys
04.09.2007 15:08 1.509.949.440 pagefile.sys
03.09.2007 13:21 938 VundoFix.txt
30.07.2007 16:57 223 boot.ini
30.07.2007 16:57 1.448 lang.txt

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\WINDOWS\system32

04.09.2007 15:11 4.603 nynyhd.dat
04.09.2007 15:11 1.072 nynyhd_navps.dat
04.09.2007 15:09 43.531 nvapps.xml
03.09.2007 11:50 5.788 iklog.log
03.09.2007 10:56 742.884 uvvwa.ini2
03.09.2007 09:56 741.429 uvvwa.bak2
02.09.2007 17:51 7.096 uvvwa.tmp
02.09.2007 17:08 6.448 uvvwa.ini
02.09.2007 17:08 6.448 uvvwa.bak1
02.09.2007 17:03 43.542 urqoppq.dll
31.08.2007 22:36 1.158 wpa.dbl
29.08.2007 22:51 249.772 TZLog.log
24.08.2007 07:27 334.336 nynyhd.exe
18.08.2007 16:06 1.238.388 gxxhqcyt.ini
18.08.2007 16:04 138.848 FNTCACHE.DAT
16.08.2007 18:26 265.497 nynyhd_nav.dat
16.08.2007 18:26 22 nvs2.inf
16.08.2007 07:50 2.431.981 okuabgwk.ini
10.08.2007 16:02 1.368.720 FreeImage.dll
09.08.2007 07:59 1.203.417 tqibiuwi.ini
08.08.2007 13:41 1.203.228 fsvewuta.ini
07.08.2007 19:07 1.203.108 qssdrglh.ini
07.08.2007 07:22 1.202.989 uxvikkcu.ini
06.08.2007 07:11 405 jkbbhaek.ini
04.08.2007 22:58 6.538 ccbeg.tmp
03.08.2007 06:34 16.789.464 MRT.exe

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\WINDOWS\Prefetch

04.09.2007 15:11 10.970 FIND.EXE-0EC32F1E.pf
04.09.2007 15:11 12.470 CMD.EXE-087B4001.pf
04.09.2007 15:11 82.950 EXPLORER.EXE-082F38A9.pf
04.09.2007 15:10 26.620 VERCLSID.EXE-3667BD89.pf
04.09.2007 15:10 42.356 WMIPRVSE.EXE-28F301A9.pf
04.09.2007 15:10 64.184 WUAUCLT.EXE-399A8E72.pf
04.09.2007 15:10 37.562 ALG.EXE-0F138680.pf
04.09.2007 15:10 59.736 MSIEXEC.EXE-2F8A8CAE.pf
04.09.2007 15:10 29.462 IMAPI.EXE-0BF740A4.pf
04.09.2007 15:10 95.558 FIREFOX.EXE-1D57670A.pf
04.09.2007 15:10 16.020 RUNDLL32.EXE-35A483DA.pf
04.09.2007 15:10 16.372 RUNDLL32.EXE-1857459C.pf
04.09.2007 14:58 13.372 REGEDIT.EXE-1B606482.pf
04.09.2007 14:58 19.428 GUARDGUI.EXE-1BD45C30.pf
04.09.2007 14:56 18.456 HIJACKTHIS.EXE-1CB4CC24.pf
04.09.2007 14:40 15.846 NOTEPAD.EXE-336351A9.pf
04.09.2007 14:33 14.756 FSBL.EXE-33901DD1.pf
04.09.2007 14:20 39.962 AUPDATE.EXE-089630E1.pf
04.09.2007 14:20 91.664 LUCOMS~1.EXE-02DB5950.pf
04.09.2007 14:17 67.210 AVNOTIFY.EXE-22AE9451.pf
04.09.2007 14:17 35.314 UPDATE.EXE-13D57D76.pf
04.09.2007 14:17 12.342 PREUPD.EXE-358AA1C1.pf
04.09.2007 14:16 32.376 READER_SL.EXE-36135169.pf
04.09.2007 14:16 28.224 MSMSGS.EXE-32066BA5.pf
04.09.2007 14:16 15.262 CTFMON.EXE-0E17969B.pf
04.09.2007 14:16 19.476 AVGNT.EXE-36CA4640.pf
04.09.2007 14:16 19.484 REGSVR32.EXE-25EEFE2F.pf
04.09.2007 14:16 23.802 RUNDLL32.EXE-3C4CF0F7.pf
04.09.2007 14:16 34.840 NYNYHD.EXE-1DEF9C2F.pf
04.09.2007 14:16 41.288 SFAGENT.EXE-06C1AB5D.pf
04.09.2007 14:16 34.098 PIFSVC.EXE-29FA40EF.pf
04.09.2007 14:16 49.028 FOTOSUITE.EXE-215C7E54.pf
04.09.2007 14:16 32.936 RTHDCPL.EXE-06918CFA.pf
04.09.2007 14:16 33.482 RUNDLL32.EXE-1340EF7F.pf
04.09.2007 14:16 10.686 ALCMTR.EXE-235F9538.pf
04.09.2007 14:16 13.420 SKYTEL.EXE-12751D3A.pf
04.09.2007 14:16 23.382 NWIZ.EXE-2D0F9FBC.pf
03.09.2007 15:05 31.392 DWWIN.EXE-30875ADC.pf
03.09.2007 15:05 93.336 DUMPREP.EXE-1B46F901.pf
03.09.2007 15:05 18.128 TASKMGR.EXE-20256C55.pf
03.09.2007 14:28 12.690 DRWTSN32.EXE-2B4B52AC.pf
03.09.2007 13:52 86.844 MSIMN.EXE-0B61806C.pf
03.09.2007 13:21 10.812 VUNDOFIXSVC.EXE-18ADD79E.pf
03.09.2007 13:20 14.728 LOGON.SCR-151EFAEA.pf
03.09.2007 13:09 16.590 VUNDOFIX.EXE-18D66EE4.pf
03.09.2007 12:59 53.346 AVCENTER.EXE-37584419.pf
03.09.2007 12:38 85.782 IEXPLORE.EXE-2CA9778D.pf
03.09.2007 12:03 42.096 RUNDLL32.EXE-13404D23.pf
03.09.2007 12:02 26.936 FREE-SPYHUNTER-SCANNER-INSTAL-328C1375.pf
03.09.2007 11:53 29.576 RUNDLL32.EXE-1DC46B04.pf
03.09.2007 11:50 37.252 SDTRAYAPP.EXE-1A2007EF.pf
03.09.2007 11:50 36.510 SWDSVC.EXE-178874E9.pf
03.09.2007 11:50 14.102 NET1.EXE-029B9DB4.pf
03.09.2007 11:50 12.764 NET.EXE-01A53C2F.pf
03.09.2007 11:49 23.842 SVCNTAUX.EXE-2857762E.pf
03.09.2007 11:49 16.906 _IU14D2N.TMP-369431B0.pf
03.09.2007 11:49 19.162 UNINS000.EXE-1063764D.pf
03.09.2007 11:36 415.914 Layout.ini
03.09.2007 10:59 20.540 SVCHOST.EXE-3530F672.pf
02.09.2007 20:16 100.468 COH32.EXE-1453A4B6.pf
02.09.2007 20:11 30.960 CCAPP.EXE-2EA3695D.pf
02.09.2007 20:11 16.542 OSCHECK.EXE-28DA21EB.pf
02.09.2007 20:07 17.936 LOGONUI.EXE-0AF22957.pf
02.09.2007 19:59 57.320 LUCALLBACKPROXY.EXE-0B5F632D.pf
02.09.2007 18:54 130.018 NAVW32.EXE-2944DF24.pf
02.09.2007 18:05 13.962 SYMLCSVC.EXE-04DC2DC5.pf
02.09.2007 18:05 41.538 SYMLCSV1.EXE-01B86BC7.pf
02.09.2007 17:17 48.562 SSAUTORN.EXE-26BC4D68.pf
31.08.2007 23:15 97.604 WINWORD.EXE-3395695A.pf

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\WINDOWS

04.09.2007 15:09 0 0.log
04.09.2007 15:09 1.175.997 WindowsUpdate.log
04.09.2007 15:09 159 wiadebug.log
04.09.2007 15:09 50 wiaservc.log
04.09.2007 15:08 2.048 bootstat.dat
04.09.2007 15:07 102.970 ntbtlog.txt
04.09.2007 14:59 15.914 SchedLgU.Txt
03.09.2007 11:53 249.250 setupapi.log
03.09.2007 11:50 886 SpywareDoctor5Uninstall.log
03.09.2007 10:49 62 SpywareDoctor5Install.log
02.09.2007 16:48 645.772 pack.epk
29.08.2007 22:51 351.639 iis6.log
29.08.2007 22:51 110.185 comsetup.log
29.08.2007 22:51 142.491 tsoc.log
29.08.2007 22:51 65.069 ntdtcsetup.log
29.08.2007 22:51 16.617 ocmsn.log
29.08.2007 22:51 1.374 imsins.log
29.08.2007 22:51 15.600 tabletoc.log
29.08.2007 22:51 21.835 KB933360.log
29.08.2007 22:51 52.608 netfxocm.log
29.08.2007 22:51 21.048 MedCtrOC.log
29.08.2007 22:51 148.868 ocgen.log
29.08.2007 22:51 15.085 msgsocm.log
29.08.2007 22:51 295.988 FaxSetup.log
29.08.2007 22:51 95.302 msmqinst.log
22.08.2007 21:35 283.408 msxml4-KB936181-enu.LOG
19.08.2007 16:23 2.143 wmsetup.log
17.08.2007 19:38 6.768 mgxoschk.ini
17.08.2007 19:30 964 cookies.ini
16.08.2007 18:21 3.088 spupdsvc.log
16.08.2007 08:07 1.374 imsins.BAK
16.08.2007 08:07 15.890 KB936021.log
16.08.2007 08:07 32.154 updspapi.log
16.08.2007 08:07 15.073 KB938828.log
16.08.2007 08:07 12.249 KB936782.log
16.08.2007 08:07 15.221 KB921503.log
16.08.2007 08:07 15.020 KB938829.log
16.08.2007 08:06 14.775 KB938127.log
16.08.2007 08:06 18.800 KB937143.log
04.08.2007 22:37 69 NeroDigital.ini
04.08.2007 11:53 1.140 mozver.dat
04.08.2007 11:41 0 nsreg.dat

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\WINDOWS\tasks

04.09.2007 15:08 6 SA.DAT
04.08.2004 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 46.010.433.536 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

04.09.2007 15:11 734.774 filelist.txt
03.09.2007 14:28 0 3C656D.dmp
03.09.2007 13:09 32.768 ~DF6F93.tmp
03.09.2007 12:57 0 3C4B3D.dmp
03.09.2007 12:27 16.384 ~DF31DE.tmp
03.09.2007 10:06 125.440 yhxquyhx.dll
03.09.2007 10:03 70.144 ouomlikw.dll
03.09.2007 07:57 125.440 ychrwync.dll
03.09.2007 07:55 70.144 aoroqfsw.dll
02.09.2007 21:13 70.144 ekluykex.dll
02.09.2007 20:31 125.440 yrutvgiy.dll
02.09.2007 20:21 421.026 Norton Setup 10,2,0 9-2-2007 20h13m4s.log
02.09.2007 20:21 161 isDel.bat
02.09.2007 20:21 7.161.956 Norton Internet Security Online 2007 Uninstall 9-2-2007 20h13m6s.log
02.09.2007 20:20 47.908 SYMEVENT.LOG
02.09.2007 20:20 5.696 SNDunin.log
02.09.2007 20:20 8.542 IDSinst.LOG
02.09.2007 20:18 5.344 CLTDIST.log
02.09.2007 20:18 125.440 dxcnjmfc.dll
02.09.2007 20:18 1.174.664 SymLCSVC.EXE
02.09.2007 20:16 16.533 srtUnin.log
02.09.2007 20:15 70.144 yqkvxvdd.dll
02.09.2007 20:11 194 osCheck Vista Migration 2007-09-02 20h11m22s.log
02.09.2007 18:07 70.144 njwycutb.dll
02.09.2007 18:01 125.440 vjsasjwo.dll
02.09.2007 17:58 70.910 pdwieonr.exe
02.09.2007 17:54 194 osCheck Vista Migration 2007-09-02 17h54m53s.log
02.09.2007 17:43 16.384 Perflib_Perfdata_1a4.dat
02.09.2007 17:10 232 4a0e_appcompat.txt
02.09.2007 17:06 5.100 srtspsp.dat
02.09.2007 16:57 194 osCheck Vista Migration 2007-09-02 16h57m52s.log
02.09.2007 16:43 194 osCheck Vista Migration 2007-09-02 16h43m41s.log
02.09.2007 16:39 950.272 ~DFBB97.tmp
02.09.2007 16:32 194 osCheck Vista Migration 2007-09-02 16h32m08s.log
02.09.2007 09:26 194 osCheck Vista Migration 2007-09-02 09h26m53s.log
02.09.2007 00:13 194 osCheck Vista Migration 2007-09-02 00h13m40s.log
01.09.2007 07:53 194 osCheck Vista Migration 2007-09-01 07h53m42s.log
31.08.2007 22:37 194 osCheck Vista Migration 2007-08-31 22h37m13s.log
30.08.2007 21:07 119 D653F3EC.TMP
30.08.2007 10:12 194 osCheck Vista Migration 2007-08-30 10h12m16s.log
29.08.2007 22:21 194 osCheck Vista Migration 2007-08-29 22h21m05s.log
29.08.2007 08:05 194 osCheck Vista Migration 2007-08-29 08h05m22s.log
28.08.2007 19:50 174 DFC5A2B2.TMP
28.08.2007 18:08 194 osCheck Vista Migration 2007-08-28 18h08m14s.log
27.08.2007 15:38 194 osCheck Vista Migration 2007-08-27 15h38m28s.log
26.08.2007 21:34 194 osCheck Vista Migration 2007-08-26 21h34m07s.log
26.08.2007 15:02 194 osCheck Vista Migration 2007-08-26 15h02m50s.log
26.08.2007 09:02 53.738 ec3_appcompat.txt
26.08.2007 08:44 194 osCheck Vista Migration 2007-08-26 08h44m17s.log
25.08.2007 12:22 194 osCheck Vista Migration 2007-08-25 12h22m14s.log
25.08.2007 08:08 194 osCheck Vista Migration 2007-08-25 08h08m43s.log
24.08.2007 12:55 194 osCheck Vista Migration 2007-08-24 12h55m41s.log
24.08.2007 07:26 194 osCheck Vista Migration 2007-08-24 07h26m48s.log
23.08.2007 07:27 194 osCheck Vista Migration 2007-08-23 07h27m31s.log
22.08.2007 20:05 194 osCheck Vista Migration 2007-08-22 20h05m34s.log
22.08.2007 12:45 36.864 MSI1B08.tmp
22.08.2007 12:35 0 is1AA0.tmp
22.08.2007 12:33 0 is1A97.tmp
22.08.2007 10:21 194 osCheck Vista Migration 2007-08-22 10h21m57s.log
21.08.2007 21:16 194 osCheck Vista Migration 2007-08-21 21h16m54s.log
21.08.2007 21:06 194 osCheck Vista Migration 2007-08-21 21h06m17s.log
20.08.2007 10:03 194 osCheck Vista Migration 2007-08-20 10h03m27s.log
19.08.2007 13:35 194 osCheck Vista Migration 2007-08-19 13h35m12s.log
19.08.2007 00:40 194 osCheck Vista Migration 2007-08-19 00h40m17s.log
18.08.2007 16:05 194 osCheck Vista Migration 2007-08-18 16h05m55s.log
17.08.2007 15:19 194 osCheck Vista Migration 2007-08-17 15h19m41s.log
17.08.2007 07:15 194 osCheck Vista Migration 2007-08-17 07h15m27s.log
16.08.2007 18:26 43 removalfile.bat
16.08.2007 18:21 194 osCheck Vista Migration 2007-08-16 18h21m37s.log
16.08.2007 07:50 194 osCheck Vista Migration 2007-08-16 07h50m19s.log
16.08.2007 07:37 194 osCheck Vista Migration 2007-08-16 07h37m04s.log
16.08.2007 07:25 194 osCheck Vista Migration 2007-08-16 07h25m48s.log
09.08.2007 07:59 194 osCheck Vista Migration 2007-08-09 07h59m33s.log
08.08.2007 23:50 194 osCheck Vista Migration 2007-08-08 23h50m49s.log
08.08.2007 16:14 3.668 cnv9C7.tmp
08.08.2007 16:14 387 ~3C0DAE.tmp
08.08.2007 13:40 194 osCheck Vista Migration 2007-08-08 13h40m49s.log
07.08.2007 19:11 21.542 eulfqnoq.exe
07.08.2007 19:07 194 osCheck Vista Migration 2007-08-07 19h06m58s.log
07.08.2007 07:21 194 osCheck Vista Migration 2007-08-07 07h21m42s.log
07.08.2007 00:51 194 osCheck Vista Migration 2007-08-07 00h51m38s.log
06.08.2007 07:15 20.090 creqdqhh.exe
06.08.2007 07:11 194 osCheck Vista Migration 2007-08-06 07h10m55s.log
05.08.2007 10:55 65.102 qnffegxc.exe
05.08.2007 10:50 194 osCheck Vista Migration 2007-08-05 10h50m27s.log
04.08.2007 21:53 194 osCheck Vista Migration 2007-08-04 21h53m27s.log
04.08.2007 21:50 0 win8A.tmp
04.08.2007 21:50 0 win88.tmp
04.08.2007 21:50 0 win86.tmp
04.08.2007 21:50 0 win84.tmp
04.08.2007 21:50 0 win82.tmp
04.08.2007 21:50 0 win81.tmp
04.08.2007 21:50 0 win80.tmp
04.08.2007 21:50 1.444 win7E.tmp
04.08.2007 20:17 194 osCheck Vista Migration 2007-08-04 20h17m32s.log
04.08.2007 11:39 194 osCheck Vista Migration 2007-08-04 11h39m47s.log
03.08.2007 18:24 3.661 msiutil(1).log
03.08.2007 18:12 194 osCheck Vista Migration 2007-08-03 18h12m57s.log

BataAlexander · 04.09.2007, 14:31

70% der geposteten Dateien sind Schädlinge generischer Art.

Daher würde ich, falls nichts gegenteiliges kommt, doch von einer Bereinigung abraten und eher zum Neuaufsetzen raten.

Hier gibt es dazu eine Anleitung.

Und der cosinus hatte zu 75% Recht

Bata

03.09.2007, 23:53	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TrojanVundo Sorry Alex. Ich will dir nichts zwischen dir Hörner werfen, aber bist du dir sicher, dass alles noch zu Vundo gehört? So ein fieses Logfile hab ich schon lange nicht mehr gesehen. __________________ --> TrojanVundo

04.09.2007, 14:31	#9
BataAlexander > MalwareDB	TrojanVundo 70% der geposteten Dateien sind Schädlinge generischer Art. Daher würde ich, falls nichts gegenteiliges kommt, doch von einer Bereinigung abraten und eher zum Neuaufsetzen raten. Hier gibt es dazu eine Anleitung. Und der cosinus hatte zu 75% Recht Bata

TrojanVundo

Log-Analyse und Auswertung: TrojanVundo

TrojanVundo

TrojanVundo

TrojanVundo

TrojanVundo

TrojanVundo

TrojanVundo

TrojanVundo

TrojanVundo

TrojanVundo