Hallo, ich habe auf meiner Maschine eine Vundo-Infektion.
Läuft sehr langsam bis gar nicht...
Antivirus ist avast, firewall ist Zonelab, ich bin den Foren gefolgt und liess Vundofix und HJT laufen - letzteres geht NUR im abgesicherten Modus. Hier der log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:25:46, on 13/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Safe mode

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\Järjestelmänvalvoja.JPA\Työpöytä\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\osspq.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\osspq.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\osspq.dll/sp.html#10001%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\osspq.dll/sp.html#10001%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.wall.*******.com:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
F3 - REG:win.ini: load=C:\WINNT\system32\fccda.exe
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {575B7AF7-9031-442D-2E74-50DCA1A5424D} - (no file)
O2 - BHO: (no name) - {5B9C0FE7-FD04-DD47-9E3C-EC2CF3DBF050} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {9111B314-3564-44A2-B462-83E0F3A84613} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {DA63EEA0-A520-1DF9-AE8D-6D1C3BB31BEB} - (no file)
O2 - BHO: (no name) - {FC1B64D9-3499-4791-82D5-AABAC3FAEA45} - C:\WINNT\system32\ddcaxut.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunOnce: [VundoFix] "C:\Documents and Settings\Järjestelmänvalvoja.JPA\Työpöytä\vundofix.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: Yahoo! Go - http://download2.games.yahoo.com/games/clients/y/gt2_x.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {F09BFD07-20B5-46D8-A6D5-BE4EF22F1F4D} (DGTx.uc1) - http://members.driverguide.com/director/dispatch_getfile.php?mode=toolkit_lite
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = *****.local
O20 - Winlogon Notify: winkke32 - winkke32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\System32\GEARSec.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINNT\SYSTEM32\VundoFixSVC.exe

--
End of file - 5658 bytes


VundoFix habe ich heruntergeladen, es findet 5 Files, von denen es aber (auch nach Reboot/auch im SafeMode) nur 4 löschen kann. Diese tauchen aber nach einiger Zeit wieder auf, als wäre nichts gewesen:



VundoFix V6.7.7

Checking Java version...

Java version is 1.5.0.8
Old versions of java are exploitable and should be removed.

Scan started at 09:32:16 14/01/2008

Listing files found while scanning....

C:\WINNT\system32\adccf.ini
C:\WINNT\system32\adccf.ini2
C:\WINNT\system32\ddcaxut.dll
C:\WINNT\system32\fccda.dll
C:\WINNT\system32\fccda.exe

Beginning removal...

Attempting to delete C:\WINNT\system32\adccf.ini
C:\WINNT\system32\adccf.ini Has been deleted!

Attempting to delete C:\WINNT\system32\adccf.ini2
C:\WINNT\system32\adccf.ini2 Has been deleted!

Attempting to delete C:\WINNT\system32\ddcaxut.dll
C:\WINNT\system32\ddcaxut.dll Could not be deleted.

Attempting to delete C:\WINNT\system32\fccda.dll
C:\WINNT\system32\fccda.dll Has been deleted!

Attempting to delete C:\WINNT\system32\fccda.exe
C:\WINNT\system32\fccda.exe Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINNT\system32\ddcaxut.dll
C:\WINNT\system32\ddcaxut.dll Could not be deleted.

Performing Repairs to the registry.
Done!


Ich würde mich sehr über jegliche Hilfe freuen (habe das System übrigens mit CCleaner gereinigt und bin auch sonst "vorsichtig", oder eben nicht genug...)
Danke

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

winkke32.dll (suche diese Datei unter c:\winnt oder c:\winnt\system32
C:\WINNT\system32\fccda.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen.
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!)

Dann sehen wir weiter.

Hallo und danke, dass Du Dich meinem Problem angenommen hast.

Hier sind die beiden einzigen Dateien, die ich finden konnte (manuell nachschauen/Dateisuche... und versteckte Dateien anzeigen!), die sind also jedenfalls auf meiner Maschine, in WINNT/system32/:

Datei fccda.dll empfangen 2008.01.14 11:25:42 (CET)

Ergebnis: 10/32 (31.25%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.14.10 2008.01.14 -
AntiVir 7.6.0.46 2008.01.14 -
Authentium 4.93.8 2008.01.13 -
Avast 4.7.1098.0 2008.01.14 Win32:TratBHO
AVG 7.5.0.516 2008.01.13 Generic9.AONI
BitDefender 7.2 2008.01.14 Trojan.Vundo.DVD
CAT-QuickHeal 9.00 2008.01.12 -
ClamAV 0.91.2 2008.01.13 -
DrWeb 4.44.0.09170 2008.01.14 -
eSafe 7.0.15.0 2008.01.13 -
eTrust-Vet 31.3.5456 2008.01.14 -
Ewido 4.0 2008.01.13 -
FileAdvisor 1 2008.01.14 -
Fortinet 3.14.0.0 2008.01.14 -
F-Prot 4.4.2.54 2008.01.13 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13030.0 2008.01.14 -
Ikarus T3.1.1.20 2008.01.14 -
Kaspersky 7.0.0.125 2008.01.14 -
McAfee 5205 2008.01.11 -
Microsoft 1.3109 2008.01.14 Trojan:Win32/Vundo.gen!A
NOD32v2 2788 2008.01.13 -
Norman 5.80.02 2008.01.11 Vundo.AL
Panda 9.0.0.4 2008.01.13 -
Prevx1 V2 2008.01.14 Trojan.Vundo
Rising 20.27.02.00 2008.01.14 -
Sophos 4.24.0 2008.01.14 W32/VirtInf-B
Sunbelt 2.2.907.0 2008.01.12 -
Symantec 10 2008.01.14 Trojan.Vundo
TheHacker 6.2.9.187 2008.01.13 -
VBA32 3.12.2.5 2008.01.13 -
VirusBuster 4.3.26:9 2008.01.13 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2008.01.14 -
weitere Informationen
File size: 333824 bytes
MD5: cb2156a7d20038bba09ee2e934f640e6
SHA1: dc8fa65c90773538d8e720e5396f899da2e043e7
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7C1A50C400443DAE187305924B0F1900285A1364


Datei ddcaxut.dll empfangen 2008.01.14 11:34:32 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 11/32 (34.38%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.14.10 2008.01.14 -
AntiVir 7.6.0.46 2008.01.14 TR/Vundo.dvo.10
Authentium 4.93.8 2008.01.13 -
Avast 4.7.1098.0 2008.01.14 -
AVG 7.5.0.516 2008.01.13 -
BitDefender 7.2 2008.01.14 Trojan.Vundo.DVO
CAT-QuickHeal 9.00 2008.01.12 -
ClamAV 0.91.2 2008.01.13 -
DrWeb 4.44.0.09170 2008.01.14 -
eSafe 7.0.15.0 2008.01.13 -
eTrust-Vet 31.3.5456 2008.01.14 -
Ewido 4.0 2008.01.13 -
FileAdvisor 1 2008.01.14 -
Fortinet 3.14.0.0 2008.01.14 -
F-Prot 4.4.2.54 2008.01.13 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13030.0 2008.01.14 -
Ikarus T3.1.1.20 2008.01.14 Trojan.Vundo.DVO
Kaspersky 7.0.0.125 2008.01.14 not-a-virus:AdWare.Win32.Virtumonde.dmu
McAfee 5205 2008.01.11 -
Microsoft 1.3109 2008.01.14 Trojan:Win32/Vundo.gen!A
NOD32v2 2788 2008.01.13 -
Norman 5.80.02 2008.01.11 -
Panda 9.0.0.4 2008.01.13 -
Prevx1 V2 2008.01.14 Trojan.Vundo
Rising 20.27.02.00 2008.01.14 -
Sophos 4.24.0 2008.01.14 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2008.01.12 -
Symantec 10 2008.01.14 Trojan.Vundo
TheHacker 6.2.9.187 2008.01.13 -
VBA32 3.12.2.5 2008.01.13 -
VirusBuster 4.3.26:9 2008.01.13 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2008.01.14 Trojan.Vundo.dvo.10
weitere Informationen
File size: 39424 bytes
MD5: 95cf0f643bc29e275d8422a7feef9b36
SHA1: 125c7191611e5a67a1d0803f6e7f106ef167ce93
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=C3864973004B8AA09AAA0046E4265F0095813B80

Mein Antivirenprogramm hat sie auch erkannt, kann sie aber weder löschen/bei startup löschen/ umbenennen/in die Schatzkammer bringen , denn dann erscheint eine offensichtlich Virusgenerierte Fehlermeldung. Hab es auch im abgesicherten Modus probiert, aber dann beendet er auch LSASS.EXE und schaltet den Computer mit 60sec-Countdown aus...

die winkke32.dll hast Du also nicht gefunden?

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Boote im abgesicherten Modus
-Starte es dann und lass das System Reinigen. (Option 2)



-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt

http://siri.geekstogo.com/ChangeLog.php

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.