| |
| |||||||
Log-Analyse und Auswertung: TrojanVundoWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
03.09.2007, 11:53
| #1 |
| |  TrojanVundo Hallo! Ich bin neu hier im Forum, habe mir eure Tutorials durchgelesen und hoffe ich gehe nun richtig vor. Ansonsten hoffe ich, dass ihr ein wenig Nachsicht habt mit einem Neuling.  Ich bin gerade im Heimaturlaub und sitze am Rechner meiner Mutter, die sich damit leider viel zu wenig auskennt und sich meines Erachtens den Trojaner Vundo.Gen geholt hat. Bei meinen ersten Durchläufen mit Ad Aware wurden 106 Infizierungen gefunden!! Und auch bei weiteren Durchläufen mit Spyware Doctor und dem Avira Scanner wurden noch einige gefunden. Mir ist es selbst ein Rätsel, wie diese ganzen Viren auf den Rechner kommen konnten. Es öffnen sich dauernd Popup-Fenster, in denen darum gebeten wird irgendwelche kostenpflichtigen Antivirenprogramme zu installieren. Avira AntVir brachte in unregelmäßigen Zeitabständen die Meldung, dass folgende Dateien eine Bedrohung für das System darstellen. Leider muss ich zugeben (wie man im Hijack-Log erkennen kann), dass ich mich davor nicht ausgiebig über die Dateien und das Problem informiert hatte und gab dem Programm den Befehl, diese Dateien zu löschen. Ich hoffe dadurch wurden nicht wichtige Systemdateien entfernt? Hier die Dateien: C:\WINDOWS\system32\awvvu.dll C:\WINDOWS\SYSTEM32\urqoppq.dll Danke für die Hilfe! Hier das Hijack-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 12:27:54, on 03.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\Programme\SPAMfighter\SFAgent.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\regsvr32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.fujitsu-siemens.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {318C257F-4C0A-4500-8998-DCF52F011824} - C:\WINDOWS\system32\mllmm.dll (file missing) O2 - BHO: (no name) - {39C6B6C8-E01E-3175-B583-04FDA1EE088B} - C:\Programme\Zyrfegih\kulyastm.dll O2 - BHO: (no name) - {435D08DD-665E-474F-B977-5EE75A2BDCB2} - C:\WINDOWS\system32\urqoppq.dll O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60 O4 - HKLM\..\Run: [pubyxcha] rundll32.exe "C:\Programme\pubyxcha\nmryleli.dll",Init O4 - HKLM\..\Run: [stmhgzyx] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\stmhgzyx.dll" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Device Detection] C:\Programme\Aldi Sued Fotoservice\dd.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h**p://www.fujitsu-siemens.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{51638461-CB7A-4522-B400-B264F2BC7937}: NameServer = 192.168.150.10 O20 - Winlogon Notify: awvvu - C:\WINDOWS\system32\awvvu.dll (file missing) O20 - Winlogon Notify: cbxwttq - cbxwttq.dll (file missing) O20 - Winlogon Notify: mllmm - C:\WINDOWS\system32\mllmm.dll (file missing) O20 - Winlogon Notify: urqoppq - C:\WINDOWS\SYSTEM32\urqoppq.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
| Themen zu TrojanVundo |
| ad aware, adobe, antvir, avira, bho, einstellungen, entfernt?, excel, firefox, hijackthis, internet, internet explorer, mozilla, mozilla firefox, object, popup-fenster, problem, rundll, scan, shockwave, software, spyware, symantec, system, trojaner, viren, vundo, vundo.gen, windows, windows xp |
Baum-Darstellung