Trojaner TR/Vundo.Gen

abcdefghikj · 29.11.2007, 18:37

Hallo erstmal..

Hab nun seit fast ner Woche nen fiesen Trojaner..
Ich bekomm seit Freitag von Antivir in immer kürzer werdenden Abständen (erst jede stunde, nun alle 15 min.) 2 identische Meldung auf einmal:

Zitat:

In der Datei 'C:\WINDOWS\system32\geeby.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [TR/Vundo.Gen] gefunden.
Ausgeführte Aktion: Datei löschen

wobei die Datei nicht iimer geeby.dll heist, sondern jedesmal anders.

Hab schon im Internet gesucht aber konnte mir so nicht helfen. Hab u.a. gefunden das andere diesen Trojaner mit Antivir nicht löschen konnten (waren auch ältere Dinge), aber mein Antivir löscht die Problemlos, kann die Dateien danach auch nicht mehr auf der HDD finden!

Seit ca 2 Tagen bekomm ich nun auch direkt nachdem ich mich mit dem Internet verbinde und AOL noch die Startseite lädt folgende Meldung:

Zitat:

Es ist ein Fehler aufgetreten.
Soll der Debugmodus gestartet werden?
Zeile: 750
Fehler:'s.prop30.length' ist Null oder kein Objekt

kann so lange die Meldung da steht, kann ich auf AOL nicht zugreifen bzw. was anklicken.

Hab Mit Antivir nen Systemscan gemacht --> nix gefunden
AdAware und AntiSpywareBot probiert --> nur div Cookies gefunden, Fehler nicht behoben

Hab mir schlussendlich VundoFix runtergeladen und laufen lassen --> nix gefunden...

Hab irgendwo gelesen das Vundofix manchmal nix findet wenn Antivir läuft, deshalb verbindung mit inet getrennt, Firewall und Antivir beendet --> Vundofix hat nix gefunden...

So, also nochmal, mein
AntiVirenprogramm: Avira Antivir Personal Edition Classic
meine Firewall: ZoneAlarm Version:7.0.337.000
zusätzlich noch AdAware und AntiSpywareBot frisch installiert.

So und nun, da kein Programm was findet und die Meldungen dennoch dauernd kommen, hier mein HijackThis logfile (Hab HijackThis vor dem Start umbenannt in Hijati.exe, da ich gelesen hab, das manche Viren das Prog kennen und sich tarnen, deshalb sollte man es umbenennen... obs stimmt, weiß ich nicht, habs aber mal gemacht..)

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 18:32:41, on 29.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Internetprogramme\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\AOL\1173628090\ee\AOLSoftware.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Internetprogramme\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Internetprogramme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Internetprogramme\AOL 9.0\waol.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Internetprogramme\AOL 9.0\shellmon.exe
D:\Neu\Hijati.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3A2224A0-B114-4491-9305-FD0E4B55FA1E} - C:\WINDOWS\system32\iiffccy.dll
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1173628090\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Internetprogramme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AntiSpywareBot] C:\Internetprogramme\AntiSpywareBot\AntiSpywareBot.exe -boot
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Internetprogramme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Internetprogramme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171018707734
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171018692171
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A32088D-3507-4CE0-965F-861CC6F45DA6}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3C07CB3-2DF6-4CC5-BF31-EF38EB900CA6}: NameServer = 213.191.92.87 213.191.74.19
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: iiffccy - C:\WINDOWS\SYSTEM32\iiffccy.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Internetprogramme\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

so, hoffe mal das mir hier jemand helfen kann...

Achja, bei der Registrierung hatte ich ziemlich viele Probleme, jedesmal kam ne Fehlermeldung das der Name vergeben war... Hab es mit 5-6 verschiedenen Namen versucht, bis dieser hier endlich funktionier hat... Hab grad mal nachgeschaut und festgestellt das von den gewünschten Namen, die angeblich schon vergeben waren keiner hier existiert...

schonmal Vielen Dank im Voraus für eure Hilfe (und das ihr euch desen Text überhaupt antut..

Ralf

Trojaner TR/Vundo.Gen

Log-Analyse und Auswertung: Trojaner TR/Vundo.Gen

Trojaner TR/Vundo.Gen

Ähnliche Themen: Trojaner TR/Vundo.Gen