Vundo-infiziert, bitte um Hilfe (HJT und Vundofix-Logs angefügt)

brunello crediti · 14.01.2008, 10:59

Hallo, ich habe auf meiner Maschine eine Vundo-Infektion.
Läuft sehr langsam bis gar nicht...
Antivirus ist avast, firewall ist Zonelab, ich bin den Foren gefolgt und liess Vundofix und HJT laufen - letzteres geht NUR im abgesicherten Modus. Hier der log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:25:46, on 13/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Safe mode

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\Järjestelmänvalvoja.JPA\Työpöytä\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\osspq.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\osspq.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\osspq.dll/sp.html#10001%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\osspq.dll/sp.html#10001%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.wall.*******.com:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
F3 - REG:win.ini: load=C:\WINNT\system32\fccda.exe
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {575B7AF7-9031-442D-2E74-50DCA1A5424D} - (no file)
O2 - BHO: (no name) - {5B9C0FE7-FD04-DD47-9E3C-EC2CF3DBF050} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {9111B314-3564-44A2-B462-83E0F3A84613} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {DA63EEA0-A520-1DF9-AE8D-6D1C3BB31BEB} - (no file)
O2 - BHO: (no name) - {FC1B64D9-3499-4791-82D5-AABAC3FAEA45} - C:\WINNT\system32\ddcaxut.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunOnce: [VundoFix] "C:\Documents and Settings\Järjestelmänvalvoja.JPA\Työpöytä\vundofix.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: Yahoo! Go - http://download2.games.yahoo.com/games/clients/y/gt2_x.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {F09BFD07-20B5-46D8-A6D5-BE4EF22F1F4D} (DGTx.uc1) - http://members.driverguide.com/director/dispatch_getfile.php?mode=toolkit_lite
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = *****.local
O20 - Winlogon Notify: winkke32 - winkke32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\System32\GEARSec.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINNT\SYSTEM32\VundoFixSVC.exe

--
End of file - 5658 bytes

VundoFix habe ich heruntergeladen, es findet 5 Files, von denen es aber (auch nach Reboot/auch im SafeMode) nur 4 löschen kann. Diese tauchen aber nach einiger Zeit wieder auf, als wäre nichts gewesen:

VundoFix V6.7.7

Checking Java version...

Java version is 1.5.0.8
Old versions of java are exploitable and should be removed.

Scan started at 09:32:16 14/01/2008

Listing files found while scanning....

C:\WINNT\system32\adccf.ini
C:\WINNT\system32\adccf.ini2
C:\WINNT\system32\ddcaxut.dll
C:\WINNT\system32\fccda.dll
C:\WINNT\system32\fccda.exe

Beginning removal...

Attempting to delete C:\WINNT\system32\adccf.ini
C:\WINNT\system32\adccf.ini Has been deleted!

Attempting to delete C:\WINNT\system32\adccf.ini2
C:\WINNT\system32\adccf.ini2 Has been deleted!

Attempting to delete C:\WINNT\system32\ddcaxut.dll
C:\WINNT\system32\ddcaxut.dll Could not be deleted.

Attempting to delete C:\WINNT\system32\fccda.dll
C:\WINNT\system32\fccda.dll Has been deleted!

Attempting to delete C:\WINNT\system32\fccda.exe
C:\WINNT\system32\fccda.exe Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINNT\system32\ddcaxut.dll
C:\WINNT\system32\ddcaxut.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Ich würde mich sehr über jegliche Hilfe freuen (habe das System übrigens mit CCleaner gereinigt und bin auch sonst "vorsichtig", oder eben nicht genug...)
Danke

Vundo-infiziert, bitte um Hilfe (HJT und Vundofix-Logs angefügt)

Log-Analyse und Auswertung: Vundo-infiziert, bitte um Hilfe (HJT und Vundofix-Logs angefügt)

Vundo-infiziert, bitte um Hilfe (HJT und Vundofix-Logs angefügt)

Ähnliche Themen: Vundo-infiziert, bitte um Hilfe (HJT und Vundofix-Logs angefügt)