Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojaner Vundo/Logfile bitte um Hilfe!

Trojaner Vundo/Logfile bitte um Hilfe!


Log-Analyse und Auswertung: Trojaner Vundo/Logfile bitte um Hilfe!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.12.2007, 10:56   #1
robin_1986
 
Trojaner Vundo/Logfile bitte um Hilfe! - Standard

Trojaner Vundo/Logfile bitte um Hilfe!


Hallo zusammen.

mein Rechner ist scheinbar sehr zugemüllt.
Habe ein Paar Sachen entfernen können, was allerdings noch da ist, ist der Trojaner Vundo. Habe es mit dem VundoFix und etlichen anderen Programmen versucht. Allerdings kann er zwei Files nicht löschen.

Mein Desktop braucht beim hochfahren sehr lange bis er erscheint. Zudem hängt sich der Explorer öfters auf.

Kann das was damit zu tun haben?

Hier das HiJack Logfile:

Vielen Dank!!


---------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:47:47, on 20.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\xampp\filezillaftp\filezillaserver.exe
D:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
d:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\TDispVol.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
D:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\adaware\Ad-Aware2007.exe
C:\WINDOWS\system32\cemitpry.exe
D:\Programme\adaware\aawservice.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qip.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.200.40:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - D:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: {c1ae4a24-7a0b-58da-0f74-261ddb970917} - {719079bd-d162-47f0-ad85-b0a742a4ea1c} - C:\WINDOWS\system32\mokewgey.dll (file missing)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\rqkwupbo.dll
O2 - BHO: (no name) - {C660EDCC-4A06-4A17-92AE-A42DF5ECB08B} - C:\WINDOWS\system32\ssttt.dll (file missing)
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - D:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - D:\Programme\PRMT75\PRMTIE\prmtie.dll
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NVRotateSysTray] REM rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [NvMediaCenter] REM RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TopDesk] D:\Programme\TopDesk\topdesk.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = D:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Command WorkStation 4.lnk = C:\Programme\FIERY\Command WorkStation 4\CWS 4.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Programme\PRMT75\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Programme\PRMT75\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Programme\PRMT75\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Programme\PRMT75\PRMTIE\options.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0328C49-85DB-4BB4-8A41-BA3A95C8542A}: NameServer = 192.168.200.40,192.168.200.65
O20 - Winlogon Notify: hgghhge - hgghhge.dll (file missing)
O20 - Winlogon Notify: rqkwupbo - C:\WINDOWS\SYSTEM32\rqkwupbo.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\adaware\aawservice.exe
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\cemitpry.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\xampp\filezillaftp\filezillaserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - d:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
O24 - Desktop Component 0: (no name) - C:\Programme\Online Services\profsyxyrt.html

--
End of file - 9408 bytes

Alt 20.12.2007, 11:20   #2
robin_1986
 
Trojaner Vundo/Logfile bitte um Hilfe! - Standard

Trojaner Vundo/Logfile bitte um Hilfe!


Hier noch ein Combofix Log:





ComboFix 07-12-20.1 - Administrator 2007-12-20 11:13:21.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1447 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\rqkwupbo.dllbox
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\WinTouch
C:\Programme\Gemeinsame Dateien\Yazzle1560OinUninstaller.exe
C:\Programme\inetget2
C:\Programme\Insider
C:\Programme\Insider\Insider.exe
C:\Programme\Insider\UnInstall.exe
C:\WINDOWS\b147.exe
C:\WINDOWS\system32\cemitpry.exe
C:\WINDOWS\system32\rqkwupbo.dllbox
C:\WINDOWS\system32\winnb58.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService




((((((((((((((((((((((( Dateien erstellt von 2007-11-20 bis 2007-12-20 ))))))))))))))))))))))))))))))
.

2007-12-20 11:10 . 2007-12-20 11:10 14,033 --a------ C:\pos124A.tmp
2007-12-20 10:42 . 2007-12-20 10:42 <DIR> d-------- C:\Programme\Trend Micro
2007-12-20 10:18 . 2007-12-20 10:18 <DIR> d-------- C:\Programme\Enigma Software Group
2007-12-20 10:13 . 2007-12-20 10:13 14,033 --a------ C:\posFFE.tmp
2007-12-20 10:10 . 2007-12-20 10:10 14,033 --a------ C:\posFE1.tmp
2007-12-20 09:33 . 2007-12-20 09:33 14,033 --a------ C:\posDF0.tmp
2007-12-20 09:30 . 2007-12-20 09:30 14,033 --a------ C:\posC00.tmp
2007-12-20 08:57 . 2007-12-20 09:42 <DIR> d-------- C:\Programme\RogueRemover FREE
2007-12-20 08:25 . 2007-12-20 08:25 14,033 --a------ C:\pos9F8.tmp
2007-12-20 08:24 . 2007-12-20 08:25 14,033 --a------ C:\pos847.tmp
2007-12-20 08:17 . 2007-12-20 08:17 14,033 --a------ C:\pos816.tmp
2007-12-20 08:16 . 2007-12-20 08:16 14,033 --a------ C:\pos718.tmp
2007-12-20 08:14 . 2007-12-20 08:14 <DIR> d--hs---- C:\found.000
2007-12-20 08:09 . 2007-12-20 08:10 14,033 --a------ C:\pos547.tmp
2007-12-20 08:08 . 2007-12-20 08:08 14,033 --a------ C:\pos43F.tmp
2007-12-20 08:07 . 2007-12-20 08:07 14,033 --a------ C:\pos249.tmp
2007-12-20 08:06 . 2007-12-20 08:06 14,033 --a------ C:\posFE.tmp
2007-12-20 08:05 . 2007-12-20 08:05 165,472 --a------ C:\WINDOWS\system32\yfikmsiv.dll
2007-12-20 08:05 . 2007-12-20 08:05 165,472 --------- C:\WINDOWS\system32\rqkwupbo.dll
2007-12-20 08:05 . 2007-12-20 08:05 14,033 --a------ C:\pos11.tmp
2007-12-20 08:05 . 2007-12-20 08:06 11,033 --a------ C:\pos13.tmp
2007-12-20 08:05 . 2007-12-20 08:06 10,033 --a------ C:\pos14.tmp
2007-12-20 08:05 . 2007-12-20 08:07 6,033 --a------ C:\posF.tmp
2007-12-20 08:05 . 2007-12-20 08:06 5,033 --a------ C:\pos15.tmp
2007-12-20 08:05 . 2007-12-20 08:05 5,033 --a------ C:\pos12.tmp
2007-12-19 08:11 . 2007-12-19 08:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\DoctorWeb
2007-12-18 08:44 . 2007-12-19 08:34 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-18 08:44 . 2007-12-18 08:44 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-17 22:01 . 2007-12-17 22:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\MozillaControl
2007-12-17 22:00 . 2007-12-19 08:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\FontExplorerX
2007-12-15 16:15 . 2007-12-15 16:15 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-12-13 17:11 . 2007-12-20 09:12 0 --a------ C:\WINDOWS\system32\mcrh.tmp
2007-12-11 08:03 . 2007-12-11 08:03 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-12-10 10:33 . 2007-12-10 10:35 42 --a------ C:\WINDOWS\system32\nt32200ax1.dll
2007-12-10 10:33 . 2007-12-10 10:35 32 --a------ C:\WINDOWS\ntcheck3232bx1.dll
2007-12-10 08:39 . 2005-10-21 02:47 30,592 --------- C:\WINDOWS\system32\drivers\rndismpx.sys
2007-12-10 08:39 . 2005-10-21 02:47 12,800 --------- C:\WINDOWS\system32\drivers\usb8023x.sys
2007-12-10 08:36 . 2007-12-10 08:39 <DIR> d-------- C:\Programme\Microsoft ActiveSync
2007-12-04 09:02 . 2007-12-04 09:02 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\Project MT
2007-12-04 09:00 . 2007-12-04 09:00 <DIR> d-------- C:\WINDOWS\speech
2007-12-04 08:59 . 2007-12-04 09:00 <DIR> d-------- C:\WINDOWS\Lhsp
2007-12-04 08:59 . 2007-12-04 08:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PROject MT
2007-12-04 08:59 . 2007-12-04 08:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\PROject MT
2007-11-27 12:27 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2007-11-27 12:26 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2007-11-27 12:26 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-11-27 12:26 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2007-11-26 23:32 . 2007-11-26 23:32 <DIR> d-------- C:\Programme\QIP
2007-11-26 17:13 . 2007-11-26 17:14 <DIR> d-------- C:\Programme\Miranda IM
2007-11-26 17:13 . 2007-11-26 17:13 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\Miranda
2007-11-26 15:48 . 2007-11-26 15:51 <DIR> d-------- C:\Programme\xampp
2007-11-22 08:20 . 2007-11-22 08:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Lavasoft
2007-11-22 08:13 . 2007-11-22 08:13 <DIR> d-------- C:\Programme\Avira
2007-11-22 08:13 . 2007-11-22 08:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2007-11-21 18:41 . 2007-11-21 18:41 8 --a------ C:\WINDOWS\system32\nvModes.dat
2007-11-21 14:17 . 2007-11-21 14:17 134,087 --a------ C:\WINDOWS\ColorPic Uninstaller.exe
2007-11-20 09:46 . 2007-11-20 11:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\FLV Extract
2007-11-20 09:19 . 2007-11-20 09:19 <DIR> d-------- C:\Programme\MSBuild
2007-11-20 09:14 . 2007-11-20 09:14 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2007-11-20 09:13 . 2007-11-20 09:13 <DIR> d-------- C:\Programme\Reference Assemblies
2007-11-20 09:13 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-27 07:11 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-22 07:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-16 12:28 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Pinnacle Studio
2007-11-16 12:28 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Pinnacle
2007-11-16 11:38 --------- d-----w C:\Programme\Microsoft SQL Server
2007-11-16 11:30 --------- d-----w C:\Programme\SmartSound Software
2007-11-16 11:30 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SmartSound Software Inc
2007-11-16 11:26 --------- d-----w C:\Programme\DivX
2007-11-16 11:22 --------- d-----w C:\Programme\Pinnacle
2007-11-16 07:54 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2007-11-16 07:54 262,144 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2007-11-15 21:23 --------- d-----w C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\OpenOffice.org2
2007-11-15 17:58 --------- d-----w C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\Apple Computer
2007-11-15 09:01 --------- d-----w C:\Programme\QuickTime
2007-11-15 09:01 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer
2007-11-15 09:00 --------- d-----w C:\Programme\Apple Software Update
2007-11-15 09:00 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple
2007-11-15 08:23 --------- d-----w C:\Programme\TechSmith
2007-11-15 08:23 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TechSmith
2007-11-14 09:37 --------- d-----w C:\Programme\Gemeinsame Dateien\EFI
2007-11-14 09:33 433,664 ----a-w C:\WINDOWS\system32\drivers\hardlock.sys
2007-11-14 09:33 264,704 ----a-w C:\WINDOWS\system32\hlvdd.dll
2007-11-14 09:33 23,040 ----a-w C:\WINDOWS\system32\drivers\aksusb.sys
2007-11-14 09:33 --------- d-----w C:\Programme\FIERY
2007-11-14 09:32 --------- d-----w C:\Programme\Java Web Start
2007-11-14 09:31 --------- d-----w C:\Programme\Java
2007-11-12 20:46 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\NVIDIA
2007-11-09 12:18 --------- d-----w C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\PiX-ART.com
2007-11-09 08:13 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Nero
2007-11-09 07:59 --------- d-----w C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\Nero
2007-11-09 07:56 --------- d-----w C:\Programme\Nero
2007-11-08 11:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-11-07 10:24 --------- d-----w C:\Programme\OpenOffice.org 2.2
2007-11-07 08:09 --------- d-----w C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\Windows Desktop Search
2007-11-06 23:01 --------- d-----w C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\DivX
2007-11-06 13:38 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software
2007-11-06 13:37 --------- d-----w C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\TuneUp Software
2007-11-06 01:14 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\FLEXnet
2007-11-06 00:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Control Panels
2007-11-06 00:30 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ALM
2007-11-05 22:56 --------- d-----w C:\Programme\TOSHIBA
2007-11-05 22:37 --------- d-----w C:\Programme\ltmoh
2007-11-05 22:31 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\nView_Profiles
2007-11-05 22:22 --------- d-----w C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\toshiba
2007-11-05 21:31 --------- d-----w C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\ICQLite
2007-11-05 20:43 --------- d-----w C:\Programme\Windows Media Connect
2007-11-05 20:43 --------- d-----w C:\Programme\Windows Journal Viewer
2007-11-05 20:43 --------- d-----w C:\Programme\HighMAT CD Writing Wizard
2007-11-05 19:27 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WTablet
2007-11-04 22:27 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PiX-ART.com
2007-11-04 22:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Stardock
2007-11-02 21:04 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead
2007-10-31 15:53 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\WTablet
2007-10-29 17:25 --------- d-----w C:\Programme\Tablet
2007-10-29 00:38 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQLite
2007-10-29 00:27 --------- d-----w C:\Programme\Bonjour
2007-10-29 00:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2007-10-28 22:20 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2007-10-28 22:16 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
2007-10-28 22:15 --------- d-----w C:\Programme\Windows Desktop Search
2007-10-28 21:09 --------- d-----w C:\Programme\Skype
2007-10-28 21:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-10-28 21:08 --------- d-----w C:\Programme\Google
2007-10-28 20:39 --------- d-----w C:\Programme\Yahoo!
2007-10-28 20:32 --------- d-----w C:\Programme\Ahead
2007-10-28 20:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-10-28 20:23 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2007-10-28 20:17 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2007-10-28 20:17 --------- d-----w C:\Programme\Acronis
2007-10-28 17:45 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Intel
2007-10-28 17:45 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Intel
2007-10-28 17:45 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Intel
2007-10-28 17:45 --------- d-----w C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\Intel
2007-10-28 17:45 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Intel
2007-10-28 17:44 --------- d-----w C:\Programme\Intel
2007-10-28 17:32 --------- d-----w C:\Programme\Realtek
2007-10-28 17:26 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\toshiba
2007-10-28 17:20 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-10-28 17:20 --------- d-----w C:\Programme\DVD-RAM
2007-10-28 17:10 --------- d-----w C:\Programme\Synaptics
2007-10-28 16:36 --------- d-----w C:\Programme\microsoft frontpage
2007-10-28 16:34 --------- d-----w C:\Programme\Online-Dienste
2007-10-28 16:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-10-28 16:33 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-10-28 16:22 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-10-28 16:22 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-10-20 00:56 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-10-20 00:56 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-10-20 00:56 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-10-20 00:56 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-10-20 00:54 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-10-20 00:54 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-10-18 09:06 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-10-18 09:03 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-10-18 09:03 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-10-18 09:03 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-10-18 09:03 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-10-18 09:02 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{719079bd-d162-47f0-ad85-b0a742a4ea1c}]
C:\WINDOWS\system32\mokewgey.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-12-20 08:05 165472 --------- C:\WINDOWS\system32\rqkwupbo.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C660EDCC-4A06-4A17-92AE-A42DF5ECB08B}]
C:\WINDOWS\system32\ssttt.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 13:00]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 13:50]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="D:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPSMain"="TPSMain.exe" [2005-08-03 16:16 C:\WINDOWS\system32\TPSMain.exe]
"NVRotateSysTray"="REM C:\WINDOWS\system32\nvsysrot.dll" []
"RTHDCPL"="RTHDCPL.EXE" [2006-05-05 06:59 C:\WINDOWS\RTHDCPL.exe]
"THotkey"="C:\Programme\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 14:02]
"NvMediaCenter"="REM RUNDLL32.exe" []
"TFncKy"="TFncKy.exe" []
"TDispVol"="TDispVol.exe" [2005-09-16 13:53 C:\WINDOWS\system32\TDispVol.exe]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-02 17:02]
"NvCplDaemon"="RUNDLL32.exe" [2004-11-11 13:00 C:\WINDOWS\system32\rundll32.exe]
"TopDesk"="D:\Programme\TopDesk\topdesk.exe" [2006-02-05 21:00]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 00:26]
"nwiz"="nwiz.exe" [2006-11-03 10:09 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-24 02:35]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 13:00]

C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Desktop\sonstiges\Autostart\
Stardock ObjectDock.lnk - D:\Programme\Stardock\ObjectDock\ObjectDock.exe [2007-10-28 21:37:50]

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\
Command WorkStation 4.lnk - C:\Programme\FIERY\Command WorkStation 4\CWS 4.exe [2007-11-14 10:32:51]
Windows-Desktopsuche.lnk - C:\Programme\Windows Desktop Search\WindowsSearch.exe [2007-02-05 15:40:46]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= C:\Programme\Online Services\profsyxyrt.html
FriendlyName=

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgghhge]
hgghhge.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqkwupbo]
rqkwupbo.dll 2007-12-20 08:05 165472 C:\WINDOWS\system32\rqkwupbo.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AutoStart-Manager 2006"="D:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe" /AUTOSTART
"TOSCDSPD"=C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
"Insider"=C:\Programme\Insider\Insider.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AGRSMMSG"=AGRSMMSG.exe
"nwiz"=nwiz.exe /install
"Acrobat Assistant 8.0"=REM "D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"Adobe_ID0EYTHM"=C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"ICQ Lite"=REM "D:\Programme\ICQLite\ICQLite.exe" -minimize
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"RestartNeroSetup"="C:\Programme\Gemeinsame Dateien\Nero\Nero Web\SetupX.exe" MODE="update" STARTPAGE="LANGUAGE"
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"horygywin"=C:\Programme\MSN\horygywin77798.exe
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"runner1"=C:\WINDOWS\mrofinu1000512.exe 61A847B5BBF72813329B385373FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
"SpyHunter Security Suite"=C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe


.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-20 11:16:54
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\rqkwupbo.dll
.
Zeit der Fertigstellung: 2007-12-20 11:17:33
__________________
Alt 21.12.2007, 08:14   #3
robin_1986
 
Trojaner Vundo/Logfile bitte um Hilfe! - Standard

Trojaner Vundo/Logfile bitte um Hilfe!


Hi,

schade, noch niemand was entdeckt?

Hier noch etwas wichtiges!
Ich bekomme nach dem hochfahren folgende Meldung:


During a scan of files at system startup,potential errors in the registry were found.
p-07-0100 irql: 1f SYVER 0xff00024
NT_KERNEL error 1256
KMODE_EXCEPTION_NOT_HANDLED


Freu mich über jede Hilfe, hab echt keine Lust neu aufzusetzen

Gruß
Robin



EDIT:

So, es wird immer spannender.
Jetzt sehe ich grad, dass sich in meinem Ordner Eigene Dateien plötzlich massig Temp Dateien befniden.
Kann schlecht abschätzen wieviele, da er immer Keine Rückmeldung ausgibt wenn ich die Eigentschaften einsehen will.

Sie sind mit pos1 fortlaufend benannt..

Langsam mach ich mir Sorgen.
__________________
Geändert von robin_1986 (21.12.2007 um 08:50 Uhr)

Alt 21.12.2007, 09:01   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Vundo/Logfile bitte um Hilfe! - Standard

Trojaner Vundo/Logfile bitte um Hilfe!


Morgen.

Zitat:
C:\Programme\xampp\filezillaftp\filezillaserver.exe
Hast du dir den FTP-Server eingerichtet?

Unabhängig davon, kannst und solltest du schon mal als schädlich erkannte Dateien in einem Rutsch löschen (sind ein paar mehr ), geh dazu so vor:

1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein (sieh zu dass du auch wirklich alles davon kopierst!!):
Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\cemitpry.exe
C:\WINDOWS\system32\mokewgey.dll
C:\WINDOWS\system32\rqkwupbo.dll
C:\WINDOWS\system32\ssttt.dll
C:\WINDOWS\system32\hgghhge.dll
C:\WINDOWS\SYSTEM32\rqkwupbo.dll
C:\Programme\Online Services\profsyxyrt.html
C:\Programme\Gemeinsame Dateien\Yazzle1560OinUninstaller.exe
C:\WINDOWS\b147.exe
C:\Programme\MSN\horygywin77798.exe
C:\WINDOWS\mrofinu1000512.exe
C:\WINDOWS\system32\rqkwupbo.dllbox
C:\WINDOWS\system32\winnb58.dll
C:\pos124A.tmp
C:\posFFE.tmp
C:\posFE1.tmp
C:\posDF0.tmp
C:\posC00.tmp
C:\pos9F8.tmp
C:\pos847.tmp
C:\pos816.tmp
C:\pos718.tmp
C:\pos547.tmp
C:\pos43F.tmp
C:\pos249.tmp
C:\posFE.tmp
C:\WINDOWS\system32\yfikmsiv.dll
C:\pos11.tmp
C:\pos13.tmp
C:\pos14.tmp
C:\posF.tmp
C:\pos15.tmp
C:\pos12.tmp
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nt32200ax1.dll
C:\WINDOWS\ntcheck3232bx1.dll

Folders to delete:
C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\WinTouch
C:\Programme\inetget2
C:\Programme\Insider

Registry Values to delete:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C660EDCC-4A06-4A17-92AE-A42DF5ECB08B}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{719079bd-d162-47f0-ad85-b0a742a4ea1c}"
"HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C660EDCC-4A06-4A17-92AE-A42DF5ECB08B}"
"HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}"
"HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{719079bd-d162-47f0-ad85-b0a742a4ea1c}"
"HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgghhge"
"HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqkwupbo"
"HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0"

Registry Keys to delete:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C660EDCC-4A06-4A17-92AE-A42DF5ECB08B}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{719079bd-d162-47f0-ad85-b0a742a4ea1c}"
"HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C660EDCC-4A06-4A17-92AE-A42DF5ECB08B}"
"HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}"
"HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{719079bd-d162-47f0-ad85-b0a742a4ea1c}"
"HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgghhge"
"HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqkwupbo"
"HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0"
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Viele der gelöschten Dateien sollten ausgewertet werden, von daher schlag ich mal vorher du lädst die Datei c:\avenger\backup.zip bei file-upload.net hoch und verlinkst es hier.

Dann kommen weitere Analysen, führ dazu folgende Tools bzw. Anleitungen aus und poste die Logfiles:
* Blacklight
* eScan
* Silentrunners
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.12.2007, 10:35   #5
robin_1986
 
Trojaner Vundo/Logfile bitte um Hilfe! - Standard

Trojaner Vundo/Logfile bitte um Hilfe!


Hi,

schonmal vielen Dank für die Hilfe!

Also wenn ich das script komplett einfüge kommen irgendwie ein paar fehlermeldungen:

Syntax error in line --- no registry value to delete found.Line will be ignored.
press ok to log error and continue or cancel to abort.

error code:0
line:

dann ne meldung mit einem registry schlüssel


das ganze wiedeholt sich dann nochmals.





wegen dem ftp, also ich nutze xxamp als testumgebung für webseiten.


vielen Dank!!!
robin


Alt 21.12.2007, 10:41   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Vundo/Logfile bitte um Hilfe! - Standard

Trojaner Vundo/Logfile bitte um Hilfe!


Dann kürzen wir den Avenger-Text um die Registry-Einträge. Nimm den hier

Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\cemitpry.exe
C:\WINDOWS\system32\mokewgey.dll
C:\WINDOWS\system32\rqkwupbo.dll
C:\WINDOWS\system32\ssttt.dll
C:\WINDOWS\system32\hgghhge.dll
C:\WINDOWS\SYSTEM32\rqkwupbo.dll
C:\Programme\Online Services\profsyxyrt.html
"C:\Programme\Gemeinsame Dateien\Yazzle1560OinUninstaller.exe"
C:\WINDOWS\b147.exe
C:\Programme\MSN\horygywin77798.exe
C:\WINDOWS\mrofinu1000512.exe
C:\WINDOWS\system32\rqkwupbo.dllbox
C:\WINDOWS\system32\winnb58.dll
C:\pos124A.tmp
C:\posFFE.tmp
C:\posFE1.tmp
C:\posDF0.tmp
C:\posC00.tmp
C:\pos9F8.tmp
C:\pos847.tmp
C:\pos816.tmp
C:\pos718.tmp
C:\pos547.tmp
C:\pos43F.tmp
C:\pos249.tmp
C:\posFE.tmp
C:\WINDOWS\system32\yfikmsiv.dll
C:\pos11.tmp
C:\pos13.tmp
C:\pos14.tmp
C:\posF.tmp
C:\pos15.tmp
C:\pos12.tmp
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nt32200ax1.dll
C:\WINDOWS\ntcheck3232bx1.dll

Folders to delete:
"C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\WinTouch"
C:\Programme\inetget2
C:\Programme\Insider
__________________
--> Trojaner Vundo/Logfile bitte um Hilfe!

Alt 21.12.2007, 10:56   #7
robin_1986
 
Trojaner Vundo/Logfile bitte um Hilfe! - Standard

Trojaner Vundo/Logfile bitte um Hilfe!


Hey!

so das hab ich nun daurchlaufen lassen:



Could not process line:
C:\WINDOWS\b147.exe
Status: 0xc0000034



File C:\Programme\MSN\horygywin77798.exe not found!
Deletion of file C:\Programme\MSN\horygywin77798.exe failed!

Could not process line:
C:\Programme\MSN\horygywin77798.exe
Status: 0xc0000034



File C:\WINDOWS\mrofinu1000512.exe not found!
Deletion of file C:\WINDOWS\mrofinu1000512.exe failed!

Could not process line:
C:\WINDOWS\mrofinu1000512.exe
Status: 0xc0000034

File C:\WINDOWS\system32\rqkwupbo.dllbox deleted successfully.


File C:\WINDOWS\system32\winnb58.dll not found!
Deletion of file C:\WINDOWS\system32\winnb58.dll failed!

Could not process line:
C:\WINDOWS\system32\winnb58.dll
Status: 0xc0000034

File C:\pos124A.tmp deleted successfully.
File C:\posFFE.tmp deleted successfully.
File C:\posFE1.tmp deleted successfully.
File C:\posDF0.tmp deleted successfully.
File C:\posC00.tmp deleted successfully.
File C:\pos9F8.tmp deleted successfully.
File C:\pos847.tmp deleted successfully.
File C:\pos816.tmp deleted successfully.
File C:\pos718.tmp deleted successfully.
File C:\pos547.tmp deleted successfully.
File C:\pos43F.tmp deleted successfully.
File C:\pos249.tmp deleted successfully.
File C:\posFE.tmp deleted successfully.
File C:\WINDOWS\system32\yfikmsiv.dll deleted successfully.
File C:\pos11.tmp deleted successfully.
File C:\pos13.tmp deleted successfully.
File C:\pos14.tmp deleted successfully.
File C:\posF.tmp deleted successfully.
File C:\pos15.tmp deleted successfully.
File C:\pos12.tmp deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\nt32200ax1.dll deleted successfully.
File C:\WINDOWS\ntcheck3232bx1.dll deleted successfully.


Folder C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\WinTouch not found!
Deletion of folder C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\WinTouch failed!

Could not process line:
C:\Dokumente und Einstellungen\Administrator.WINDOWSPC\Anwendungsdaten\WinTouch
Status: 0xc0000034



Folder C:\Programme\inetget2 not found!
Deletion of folder C:\Programme\inetget2 failed!

Could not process line:
C:\Programme\inetget2
Status: 0xc0000034



Folder C:\Programme\Insider not found!
Deletion of folder C:\Programme\Insider failed!

Could not process line:
C:\Programme\Insider
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Alt 21.12.2007, 11:02   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Vundo/Logfile bitte um Hilfe! - Standard

Trojaner Vundo/Logfile bitte um Hilfe!


Okay soweit. Einige Dateien konnten nicht gelöscht werden, da die anscheinend nicht mehr da waren. Führ mal mit den anderen Tools fort. Und lad das backup.zip doch mal bitte bei file-upload.net hoch.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Trojaner Vundo/Logfile bitte um Hilfe!
ad-aware, antivir, application, avira, bho, bitte um hilfe, bonjour, computer, desktop, enigma, entfernen, firefox, google, hijack, hijackthis, hkus\s-1-5-18, hängt, installation, internet, internet explorer, logfile, mozilla, mozilla firefox, mssql, s-1-5-18, security, security suite, software, system, trend micro, trojaner, windows, windows xp


« Windwos Explorer startet nicht — Fehlende Taskleiste — Blankes Desktop | HiJack + evtl trojaner? »


Ähnliche Themen: Trojaner Vundo/Logfile bitte um Hilfe!


  1. Bitte um Hilfe. Logfile Analyse -2 Trojaner auf Rechner
    Log-Analyse und Auswertung - 23.09.2009 (8)
  2. Logfile nach Trojaner Infektion...Bitte um Hilfe!
    Log-Analyse und Auswertung - 17.07.2009 (15)
  3. logfile bitte mal prüfen / trojaner???hilfe
    Log-Analyse und Auswertung - 31.05.2009 (0)
  4. Hilfe - neue Attacke TR\Vundo - bitte Logfile checken - Danke
    Mülltonne - 19.12.2008 (0)
  5. TR/ Vundo.Gen hilfe bei LogFile Auswertung
    Mülltonne - 12.12.2008 (2)
  6. TR/Vundo.Gen Trojaner den ich nicht löschen kann bitte um Hilfe
    Log-Analyse und Auswertung - 08.10.2008 (1)
  7. combofix bericht wegen vundo trojaner bitte um hilfe
    Plagegeister aller Art und deren Bekämpfung - 21.05.2008 (2)
  8. TR/Vundo.Gen Trojaner - Bitte um Hilfe
    Log-Analyse und Auswertung - 07.05.2008 (6)
  9. TR/Vundo.gen TR/vundo.AC Bitte um Hilfe
    Log-Analyse und Auswertung - 22.03.2008 (10)
  10. Brauche Hilfe bei Logfile (vundo)
    Log-Analyse und Auswertung - 14.02.2008 (1)
  11. Trojaner TR/Vundo.DNL nicht behebbar, bitte um HJT-Auswertung und Hilfe
    Plagegeister aller Art und deren Bekämpfung - 23.01.2008 (16)
  12. Bitte Logfile anschauen...Vundo..wurde gefunden!!!
    Log-Analyse und Auswertung - 18.01.2008 (12)
  13. vundo.gen virus, bitte logfile checken
    Log-Analyse und Auswertung - 30.04.2007 (16)
  14. Tr /vundo.gen -->Logfile bitte auswerten
    Log-Analyse und Auswertung - 04.04.2007 (11)
  15. Hilfe, 100 Trojaner, bitte Logfile überprüfen
    Log-Analyse und Auswertung - 24.02.2007 (4)
  16. Hilfe!!! Trojaner: TR/Vundo.Gen...hier mein Logfile
    Log-Analyse und Auswertung - 03.02.2007 (1)
  17. Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...
    Log-Analyse und Auswertung - 13.04.2005 (21)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner Vundo/Logfile bitte um Hilfe! - Hallo zusammen. mein Rechner ist scheinbar sehr zugemüllt. Habe ein Paar Sachen entfernen können, was allerdings noch da ist, ist der Trojaner Vundo. Habe es mit dem VundoFix und etlichen - Trojaner Vundo/Logfile bitte um Hilfe!...
Archiv
Du betrachtest: Trojaner Vundo/Logfile bitte um Hilfe! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55