|
Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Vundo.*.*Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.02.2008, 13:53 | #1 |
| Trojaner TR/Vundo.*.* Hallo, habe mir gestern ein Programm aus dem Internet gezogen und mir prompt einen Trojaner eingefangen, mit dem Namen TR/Vundo.Gen .QC . oder .DWK, der an für sich keinen Schaden verurswacht, aber im Abstand von ca. 30min meldet sich ständig mein AntiVir zu Wort, dass es einen Trojaner gefunden hat, der entweder in meinen Dokumneten und Einstellungen ist oder in der system32 irgendwelche Dateien befällt. Habe mich auch mal darüber erkundigt und der Trojaner scheint eigentlich recht harmlos zu sein, allerdings nervt die Virus Warnung mit der Zeit. Weiß jemand wie ich den ohne das ich mein System neu aufsetzen muss entfernen kann? Gruß! |
14.02.2008, 17:09 | #2 |
| Trojaner TR/Vundo.*.* Zusatz: hab AntiVir runter gehaun und mir anstelle dessen Sophos AntiVir installiert und nun zeigt er mir folgendes an:
__________________Datei "C:\WINDOWS\system32\qomkiij.dll" gehört zu Virus/Spyware Troj/Virtum-Gen. Kann mir vielleicht irgendjemand helfen? |
14.02.2008, 19:44 | #3 |
| Trojaner TR/Vundo.*.* Sorry für die doppel Postings aber ich finde irgendwie den Editier-Button nicht.
__________________Also jetzt nochmal zu meiner Vorgehensweise: 1. habe AntiVir durchlaufen lassen - hat mir TR/Vundo angezeigt, konnt aber nicht gelöscht werden. 2. habe AntiVir deinstalliert und Sophos AntiVir installiert- zeigt mir nun im system32 die Datei qomkiij.dll als befallen von Troj/Virtum-Gen. an > kann ich aber auch nicht löschen 3. habe adaware, S&D durchlaufen lassen, aber die haben auch nichts gefunden (bis auf ein paar cookies) 4. habe versucht die .dll Datei bei Virustotal hochzuladen, aber da wird mir angezeigt, dass das nicht geht, weil die Datei 0byte hat 5. habe Vundofix durchlaufen lassen - hat auch vier Dateien gefunden und hat alle gelöscht, aber nicht den Trojaner 6. habe versucht die .dll Datei mit Killbox zu löschen - ging auch nicht 7. habe ComboFix durchlaufen lassen, hat aber auch nichts gebracht ABER: anstelle von 1000 Nachrichten von Sophos über den Trojaner sind es momentan nur noch 6 Bekome ich nun irgendwie dieses Teil runter, ohne meinen Laptop neu aufzusetzen? Weil hab auch meine Windows CD nicht hier - bzw- würde es langen Windows einfach nur neu drauf zu spielen?!? |
15.02.2008, 05:37 | #4 |
| Trojaner TR/Vundo.*.* Hallo mach bitte mal alle versteckten Dateien und Ordner sichtbar. Lade dir Vundofix und Combofix Vundofix * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Anschließend erstelle eine Übersicht mit der Filelist Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp MFG |
15.02.2008, 23:04 | #5 |
| Trojaner TR/Vundo.*.* Also erstmal danke für die Hilfe, aber irgendwie ist etwas ganz komisches passiert... Ich hatte ja geschrieben, dass ich besagte .dll Datei nicht bei Jotti oder Virustotal überprüfen lassen kann, weil sie angeblich 0kb hat und Killbox konnte die Datei auch nicht löschen. Also hab ich mir gedacht, machste einfach mal den Total Commander auf, gehst in den System32 Ordner und guckst mal nach der Datei. Datei gefunden, markiert, entf. gedrückt, Papierkorb geleert, Virus weg. Kann sowas sein?!? Kann es wirklich sein, dass das so einfach geht? Hab danach nochmal alle Programme durchlaufen lassen und kein Programm hat irgendwas gefunden, es kommen keine Fehlermeldungen mehr, kein Virusalarm - nichts! |
15.02.2008, 23:23 | #6 | |
| Trojaner TR/Vundo.*.* Hallo Zitat:
Erstelle mal eine Übersicht mit der Filelist mal schauen ob sich da noch Reste tummeln. MFG |
16.02.2008, 15:38 | #7 |
| Trojaner TR/Vundo.*.* Ok, hattest recht. Hat den Virus wieder gefunden, allerdings diesmal in einer anderen Datei. Hier mal ein paar LogFiles: COMBOFIX ComboFix 08-02-14.3 - Cebbe 2008-02-16 15:04:18.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.477 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-01-16 bis 2008-02-16 )))))))))))))))))))))))))))))) . 2008-02-14 17:34 . 2008-02-14 17:34 <DIR> d-------- C:\VundoFix Backups 2008-02-14 16:50 . 2008-02-14 16:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Cisco Systems 2008-02-14 16:50 . 2008-02-14 16:42 17,920 --a------ C:\WINDOWS\system32\sophosboottasks.exe 2008-02-14 16:34 . 2008-02-14 16:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Sophos 2008-02-14 16:32 . 2008-02-14 16:43 101,120 --a------ C:\WINDOWS\system32\drivers\savonaccesscontrol.sys 2008-02-14 16:32 . 2008-02-14 16:43 33,408 --a------ C:\WINDOWS\system32\drivers\savonaccessfilter.sys 2008-02-14 16:30 . 2008-02-14 16:50 <DIR> d-------- C:\Programme\Sophos 2008-02-14 15:01 . 2008-02-14 15:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Lavasoft 2008-02-14 14:48 . 2008-02-14 14:48 <DIR> d-------- C:\Programme\Lavasoft 2008-02-13 22:07 . 2008-02-13 22:07 <DIR> d-------- C:\Programme\Notebook Hardware Control 2008-02-13 22:07 . 2008-02-16 13:33 22,528 --a------ C:\WINDOWS\system32\drivers\nhcDriver.sys 2008-02-13 21:37 . 2008-02-13 21:37 <DIR> d-------- C:\Programme\DNA 2008-02-13 21:37 . 2008-02-13 21:37 <DIR> d-------- C:\Programme\BitTorrent 2008-02-13 21:37 . 2008-02-14 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\DNA 2008-02-13 21:16 . 2008-02-13 21:16 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-02-13 21:16 . 2008-02-14 13:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy 2008-02-13 19:33 . 2008-02-13 19:33 <DIR> d-------- C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\CyberLink 2008-02-13 19:32 . 2008-02-13 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\CyberLink 2008-02-13 19:30 . 2008-02-14 15:40 <DIR> d-------- C:\Programme\CyberLink 2008-02-13 17:32 . 2008-02-13 17:32 <DIR> d-------- C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\EndNote 2008-02-13 17:31 . 2008-02-13 19:49 <DIR> d-------- C:\Programme\EndNote X Demo 2008-02-12 17:11 . 2002-07-08 00:14 1,294,336 --a------ C:\WINDOWS\system32\vorbis.acm 2008-02-12 17:11 . 2006-06-20 10:56 225,280 --a------ C:\WINDOWS\system32\rewire.dll 2008-02-12 17:08 . 2008-02-12 17:08 <DIR> d-------- C:\Programme\Steinberg 2008-02-12 17:08 . 2008-02-12 17:11 <DIR> d-------- C:\Programme\Image-Line 2008-02-12 17:08 . 2003-06-20 13:28 1,777,664 --a------ C:\WINDOWS\system32\gdiplus.dll 2008-02-06 18:35 . 2008-02-06 18:35 <DIR> d-------- C:\Programme\CONEXANT 2008-02-06 18:09 . 2008-02-06 18:09 <DIR> d-------- C:\Programme\DAMN NFO Viewer 2008-02-05 15:31 . 2008-02-05 15:31 <DIR> d-------- C:\Programme\Microsoft Works 2008-02-05 15:30 . 2008-02-05 15:32 <DIR> d-------- C:\WINDOWS\SHELLNEW 2008-02-05 15:30 . 2008-02-05 15:30 <DIR> d-------- C:\Programme\Microsoft.NET 2008-02-05 15:28 . 2008-02-05 15:28 <DIR> dr-h----- C:\MSOCache 2008-02-04 17:07 . 2008-02-04 17:07 <DIR> d-------- C:\Programme\RouterControl 2008-02-04 17:07 . 2008-01-15 14:20 330,336 --a------ C:\WINDOWS\RCoUn.EXE 2008-02-04 17:07 . 2008-02-04 17:07 1,999 -r------- C:\WINDOWS\RouterControl_Uninstall.in 2008-01-28 20:26 . 2008-01-28 20:41 <DIR> d-------- C:\Programme\No23 Recorder 2008-01-28 20:18 . 2008-01-28 20:18 <DIR> d-------- C:\WINDOWS\Replay Media Catcher 2008-01-28 20:18 . 2008-01-28 20:52 <DIR> d-------- C:\Programme\Replay Media Catcher 2008-01-24 16:12 . 2008-01-24 16:16 <DIR> d-------- C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\CCleanup 2008-01-18 17:15 . 2008-02-05 15:19 <DIR> d-------- C:\Programme\Gene6 FTP Server 2008-01-16 23:47 . 2008-01-19 00:44 <DIR> d-------- C:\WINDOWS\Downloaded Installations 2008-01-16 23:47 . 2008-01-19 00:51 <DIR> d-------- C:\Programme\TV Movie . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-16 12:38 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-02-16 01:51 --------- d-----w C:\Programme\Trillian 2008-02-14 14:41 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-02-14 14:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-02-14 13:33 --------- d-----w C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\Lavasoft 2008-02-13 20:38 --------- d-----w C:\Programme\SpeedFan 2008-02-12 15:35 --------- d-----w C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\uTorrent 2008-02-05 19:21 --------- d-----w C:\Programme\TuneUp Utilities 2007 2008-02-05 14:18 --------- d-----w C:\Programme\FileZilla 2008-01-21 20:29 --------- d-----w C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\dvdcss 2008-01-20 02:08 --------- d-----w C:\Programme\Winamp 2008-01-15 13:29 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Adobe Systems 2008-01-15 13:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-01-15 12:47 --------- d-----w C:\Programme\Return to Castle Wolfenstein 2008-01-15 07:51 2,322,432 ----a-w C:\WINDOWS\system32\TUKernel.exe 2008-01-10 13:56 --------- d-----w C:\Programme\Audacity 2008-01-10 12:13 --------- d-----w C:\Programme\QuickTime 2008-01-10 12:12 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer 2008-01-10 00:12 --------- d-----w C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien 2008-01-08 17:45 --------- d-----w C:\Programme\EA GAMES 2008-01-04 18:08 --------- d-----w C:\Programme\MSN Messenger 2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\drivers\mrxdav.sys 2007-12-17 22:49 48,928 ----a-w C:\WINDOWS\system32\drivers\Tetris.sys 2007-12-07 02:04 824,832 ----a-w C:\WINDOWS\system32\wininet.dll 2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{23D44BCF-AA7A-41D6-8905-E808F16322EF}] C:\WINDOWS\system32\qomkiij.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB402484-6C9D-4C32-9BB2-619A5F4A3620}] C:\WINDOWS\system32\ssttr.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F30949F0-F560-43F6-8B0F-820600CDF4AD}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TVTip"="C:\Programme\TV Movie\TV Movie ClickFinder\tvstart.exe" [2007-07-02 13:00 94208] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 13:00 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 13:00 455168] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792] "NotebookHardwareControl"="C:\Programme\Notebook Hardware Control\nhc.exe" [2007-05-04 01:33 2629632] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{23D44BCF-AA7A-41D6-8905-E808F16322EF}"= C:\WINDOWS\system32\qomkiij.dll [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomkiij] qomkiij.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\PROGRA~3\Sophos\SOPHOS~1\SOPHOS~1.DLL [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2005-09-09 12:26 94208 C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2005-12-10 15:57 133016 C:\Programme\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-12-11 10:56 286720 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2007-04-13 14:54 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "VSS"=3 (0x3) "usnsvc"=3 (0x3) "TermService"=3 (0x3) "TapiSrv"=3 (0x3) "helpsvc"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart "BitTorrent DNA"="C:\Programme\DNA\btdna.exe" "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "WinampAgent"=C:\Programme\Winamp\winampa.exe "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "Realtime Audio Engine"="mmrtkrnl.exe" /i "ATIPTA"="C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe" "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime "RouterControl"=C:\PROGRA~3\ROUTER~1\ROUTERCONTROL.EXE "LanguageShortcut"=C:\Programme\CyberLink\PowerDVD\Language\Language.exe "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 "RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe R1 SAVOnAccessControl;SAVOnAccessControl;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2008-02-14 16:43] R1 SAVOnAccessFilter;SAVOnAccessFilter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2008-02-14 16:43] R2 HWiNFO32;HWiNFO32 Kernel Driver;C:\Programme\HWiNFO32\HWiNFO32.SYS [2007-03-05 19:14] R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-12-13 18:03] R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-12-13 18:03] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00] R3 Tetris;Tetris driver;C:\WINDOWS\system32\Drivers\Tetris.sys [2007-12-17 23:49] S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);C:\WINDOWS\system32\DRIVERS\sea1bus.sys [2007-02-08 11:55] S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\sea1mdfl.sys [2007-02-08 11:55] S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\sea1mdm.sys [2007-02-08 11:55] S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\sea1mgmt.sys [2007-02-08 11:56] S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);C:\WINDOWS\system32\DRIVERS\sea1nd5.sys [2007-02-08 11:56] S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\sea1obex.sys [2007-02-08 11:56] S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);C:\WINDOWS\system32\DRIVERS\sea1unic.sys [2007-02-08 11:56] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64e17f2a-f67d-11db-a7c5-0014a516f0b6}] \Shell\AutoRun\command - E:\pushinst.exe . Inhalt des "geplante Tasks" Ordners "2008-02-13 16:16:58 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2008-01-31 08:27:35 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-16 15:09:14 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Sophos Message Router] "ImagePath"="\"C:\Programme\Sophos\Remote Management System\RouterNT.exe\" -service -name Router -ORBListenEndpoints iiop://:8193/ssl_port=8194" . Zeit der Fertigstellung: 2008-02-16 15:09:57 ComboFix-quarantined-files.txt 2008-02-16 14:09:41 ComboFix2.txt 2008-02-14 18:34:13 . 2008-02-13 10:03:37 --- E O F --- UND DIE LETZTEN 30 TAGE DER FILELIST: ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CB1-C453 Verzeichnis von C:\ 16.02.2008 15:18 1.409.286.144 pagefile.sys 16.02.2008 15:09 13.442 ComboFix.txt 14.02.2008 19:12 774 VundoFix.txt 12.02.2008 13:33 12.624 debug.log ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CB1-C453 Verzeichnis von C:\WINDOWS\system32 14.02.2008 16:42 17.920 sophosboottasks.exe 14.02.2008 16:32 406.222 perfh009.dat 14.02.2008 16:32 63.804 perfc009.dat 14.02.2008 16:32 421.846 perfh007.dat 14.02.2008 16:32 77.294 perfc007.dat 14.02.2008 16:32 980.048 PerfStringBackup.INI 13.02.2008 19:46 34.308 BASSMOD.dll 10.02.2008 22:22 2.206 wpa.dbl 05.02.2008 23:37 309.192 FNTCACHE.DAT 05.02.2008 00:09 18.214.008 MRT.exe 15.01.2008 08:51 2.322.432 TUKernel.exe 11.01.2008 06:32 44.544 pngfilt.dll ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CB1-C453 Verzeichnis von C:\WINDOWS\Prefetch 16.02.2008 15:32 14.790 FIND.EXE-0EC32F1E.pf 16.02.2008 15:32 18.312 CMD.EXE-087B4001.pf 16.02.2008 15:28 48.222 ALUPDATE.EXE-07285CF1.pf 16.02.2008 15:28 28.388 NOTEPAD.EXE-336351A9.pf 16.02.2008 15:27 55.652 SAVMAIN.EXE-295C72AE.pf 16.02.2008 15:27 74.826 STARTUPMANAGER.EXE-2D368FFC.pf 16.02.2008 15:27 37.048 WMIPRVSE.EXE-28F301A9.pf 16.02.2008 15:27 66.608 INTEGRATOR.EXE-3967D297.pf 16.02.2008 15:24 62.198 WINRAR.EXE-3588DFE8.pf 16.02.2008 15:23 100.272 FIREFOX.EXE-1D57670A.pf 16.02.2008 15:22 73.114 THUNDERBIRD.EXE-031A6371.pf 16.02.2008 15:22 141.886 WMPLAYER.EXE-0996933A.pf 16.02.2008 15:20 73.578 MSCORSVW.EXE-1BF30400.pf 16.02.2008 15:20 25.846 NGEN.EXE-38021CCC.pf 16.02.2008 15:20 171.392 WUAUCLT.EXE-399A8E72.pf 16.02.2008 15:20 1.200.186 NTOSBOOT-B00DFAAD.pf 16.02.2008 15:17 67.220 SAVSERVICE.EXE-16C8C2B7.pf 16.02.2008 15:16 65.644 TU_LOGONUI.EXE-0294A669.pf 16.02.2008 15:15 50.666 UPDATEWIZARD.EXE-13F4E8AB.pf 16.02.2008 15:13 20.004 TASKMGR.EXE-20256C55.pf 16.02.2008 15:10 4.748 HANDLE.CFEXE-13427ED2.pf 16.02.2008 15:10 19.950 REGEDIT.EXE-1B606482.pf 16.02.2008 15:09 42.002 CATCHME.CFEXE-0F2A0789.pf 16.02.2008 15:09 33.920 LISTDLLS.CFEXE-163777B3.pf 16.02.2008 15:09 26.168 DUMPHIVE.CFEXE-2ED3B134.pf 16.02.2008 15:09 3.872 GSAR.CFEXE-156760D9.pf 16.02.2008 15:09 57.060 IMAPI.EXE-0BF740A4.pf 16.02.2008 15:09 34.262 CSCRIPT.EXE-1C26180C.pf 16.02.2008 15:09 90.484 EXPLORER.EXE-082F38A9.pf 16.02.2008 15:09 19.092 VERCLSID.EXE-3667BD89.pf 16.02.2008 15:09 76.052 VFIND.EXE-0CB9A64E.pf 16.02.2008 15:09 16.750 REGT.CFEXE-15DB5DAE.pf 16.02.2008 15:09 26.114 IPCONFIG.EXE-2395F30B.pf 16.02.2008 15:09 12.940 PSEXESVC.EXE-35EFACCF.pf 16.02.2008 15:09 12.580 PSEXEC.CFEXE-2CB6A9EC.pf 16.02.2008 15:09 10.754 SWSC.CFEXE-3B4FE4FE.pf 16.02.2008 15:08 13.388 SORT.EXE-194AE83C.pf 16.02.2008 15:08 10.722 SWREG.CFEXE-2BF4FFCD.pf 16.02.2008 15:08 4.098 GREP.CFEXE-20443039.pf 16.02.2008 15:08 8.168 VFIND.CFEXE-2033727F.pf 16.02.2008 15:08 4.476 SED.CFEXE-268D7E58.pf 16.02.2008 15:08 16.792 NIRCMD.CFEXE-19FF4781.pf 16.02.2008 15:08 9.498 MTEE.CFEXE-1E067BC7.pf 16.02.2008 15:08 23.546 KMD.EXE-2FAFDF40.pf 16.02.2008 15:08 11.944 NIRCMD.EXE-2C39EF53.pf 16.02.2008 15:08 15.156 FINDSTR.EXE-0CA6274B.pf 16.02.2008 15:04 13.696 ATTRIB.EXE-39EAFB02.pf 16.02.2008 15:04 12.934 NIRCMD.COM-323C21EC.pf 16.02.2008 15:04 4.118 SF.CFEXE-164B3B2D.pf 16.02.2008 15:03 19.128 SETPATH.CFEXE-034E3D26.pf 16.02.2008 15:03 16.676 ROUTE.EXE-371D32DE.pf 16.02.2008 15:03 2.790 MOVEEX.CFEXE-01B74CA8.pf 16.02.2008 15:03 9.158 CHCP.COM-18156052.pf 16.02.2008 15:03 54.048 COMBOFIX.EXE-2FF9EC49.pf 16.02.2008 15:03 12.048 NIRCMD.COM-223F42C3.pf 16.02.2008 15:03 10.458 SWXCACLS.CFEXE-24057B3B.pf 16.02.2008 15:03 10.452 SWREG.CFEXE-287CC9EF.pf 16.02.2008 14:56 15.940 HIJACKTHIS.EXE-01CCD52F.pf 16.02.2008 14:10 66.964 DFRGNTFS.EXE-269967DF.pf 16.02.2008 14:10 20.494 DEFRAG.EXE-273F131E.pf 16.02.2008 14:10 399.870 Layout.ini 16.02.2008 13:52 51.632 WINAMP.EXE-08C38ED9.pf 16.02.2008 13:49 47.502 TOTALCMD.EXE-0E3CA4DA.pf 16.02.2008 13:36 65.164 GP5.EXE-27A0382F.pf 16.02.2008 13:34 91.188 EXCEL.EXE-0DC93B7A.pf 16.02.2008 13:33 14.396 CTFMON.EXE-0E17969B.pf 16.02.2008 13:33 51.070 NHC.EXE-1233CD06.pf 16.02.2008 13:33 13.494 JUSCHED.EXE-309E47F8.pf 16.02.2008 13:33 14.810 READER_SL.EXE-1EA4C8B2.pf 16.02.2008 13:33 17.312 USERINIT.EXE-30B18140.pf 16.02.2008 13:33 24.056 ATI2EVXX.EXE-19D16EB9.pf 16.02.2008 13:32 9.826 NEROCHECK.EXE-092C6DFA.pf 16.02.2008 13:32 9.320 TINTSETP.EXE-39BF0732.pf 16.02.2008 01:38 75.226 WMPLAYER.EXE-09969339.pf 16.02.2008 01:22 21.106 RUNDLL32.EXE-31768FF0.pf 16.02.2008 01:16 103.548 IEXPLORE.EXE-2CA9778D.pf 16.02.2008 01:09 34.786 RUNDLL32.EXE-3910966A.pf 16.02.2008 01:09 23.056 RUNDLL32.EXE-327ED30F.pf 16.02.2008 00:41 20.320 SNDVOL32.EXE-383480B7.pf 15.02.2008 22:58 98.908 TRILLIAN.EXE-302642F0.pf 15.02.2008 13:29 33.814 RUNDLL32.EXE-1187FB71.pf 15.02.2008 11:48 75.316 WMPLAYER.EXE-09969333.pf 14.02.2008 17:05 94.870 FIREFOX.EXE-1ADC1FDD.pf 14.02.2008 16:57 42.860 MSIEXEC.EXE-2F8A8CAE.pf 14.02.2008 16:31 21.518 WMIADAP.EXE-2DF425B2.pf 14.02.2008 14:31 78.470 DWWIN.EXE-30875ADC.pf 14.02.2008 13:45 81.320 AVNOTIFY.EXE-22AE9451.pf 14.02.2008 13:44 31.614 GUARDGUI.EXE-1BD45C30.pf 14.02.2008 00:07 46.186 UPDATE.EXE-13D57D76.pf 14.02.2008 00:07 16.450 PREUPD.EXE-358AA1C1.pf 13.02.2008 16:00 57.768 AUDITION.EXE-1D426263.pf 93 Datei(en) 5.117.940 Bytes 0 Verzeichnis(se), 7.287.787.520 Bytes frei ----- Windows -------------------------- ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CB1-C453 Verzeichnis von C:\WINDOWS 16.02.2008 15:18 157 wiadebug.log 16.02.2008 15:18 1.655.951 WindowsUpdate.log 16.02.2008 15:18 50 wiaservc.log 16.02.2008 15:18 2.048 bootstat.dat 16.02.2008 15:17 32.546 SchedLgU.Txt 16.02.2008 15:09 227 system.ini 16.02.2008 13:55 2.059 wincmd.ini 15.02.2008 11:54 116 NeroDigital.ini 14.02.2008 01:49 4.122 wmsetup.log 14.02.2008 00:10 19.035 setupapi.log 13.02.2008 11:02 2.936 iis6.log 13.02.2008 11:02 6.107 comsetup.log 13.02.2008 11:02 3.705 ntdtcsetup.log 13.02.2008 11:02 7.077 tsoc.log 13.02.2008 11:02 1.026 ocmsn.log 13.02.2008 11:02 1.374 imsins.log 13.02.2008 11:02 17.021 KB946026.log 13.02.2008 11:02 927 msgsocm.log 13.02.2008 11:02 8.748 ocgen.log 13.02.2008 11:02 18.550 FaxSetup.log 13.02.2008 11:02 1.374 imsins.BAK 13.02.2008 11:02 23.116 KB944533-IE7.log 13.02.2008 11:01 4.026 updspapi.log 13.02.2008 11:01 10.902 KB943055.log 05.02.2008 15:34 400 ODBC.INI 05.02.2008 15:33 517 win.ini 04.02.2008 17:07 1.999 RouterControl_Uninstall.in 28.01.2008 20:52 3.817 Replay Media Catcher Uninstall Log.txt 15.01.2008 14:20 330.336 RCoUn.EXE 15.01.2008 13:47 600 Rtcw.INI 15.11.2007 03:02 0 setupact.log ---- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CB1-C453 Verzeichnis von C:\WINDOWS\tasks 16.02.2008 15:18 6 SA.DAT 13.02.2008 17:16 396 1-Klick-Wartung.job 31.01.2008 09:27 276 AppleSoftwareUpdate.job 04.08.2004 13:00 65 desktop.ini 4 Datei(en) 743 Bytes 0 Verzeichnis(se), 7.287.791.616 Bytes frei ----- Wintemp -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CB1-C453 Verzeichnis von C:\WINDOWS\temp 16.02.2008 15:18 255 WGAErrLog.txt 1 Datei(en) 255 Bytes 0 Verzeichnis(se), 7.287.791.616 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CB1-C453 Verzeichnis von C:\DOKUME~1\CEBBE~1.HAT\LOKALE~1\Temp 16.02.2008 15:32 116.940 filelist.txt 16.02.2008 15:23 171 jusched.log 16.02.2008 15:19 0 JET1.tmp 16.02.2008 15:19 16.384 ~DF87DE.tmp 16.02.2008 13:33 16.384 ~DF3EBF.tmp 5 Datei(en) 149.879 Bytes 0 Verzeichnis(se), 7.287.791.616 Bytes frei |
16.02.2008, 15:39 | #8 |
| Trojaner TR/Vundo.*.* ...und noch Hijackthis! HIJACKTHIS Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:57, on 16.2.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\CyberLink\Shared files\RichVideo.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\Sophos\Remote Management System\ManagementAgentNT.exe C:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\Programme\Sophos\Remote Management System\RouterNT.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Notebook Hardware Control\nhc.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h++p://go.divx.com/divx/webplayerdemo/de O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {23D44BCF-AA7A-41D6-8905-E808F16322EF} - C:\WINDOWS\system32\qomkiij.dll (file missing) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~3\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {AB402484-6C9D-4C32-9BB2-619A5F4A3620} - C:\WINDOWS\system32\ssttr.dll (file missing) O2 - BHO: (no name) - {F30949F0-F560-43F6-8B0F-820600CDF4AD} - (no file) O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet O4 - HKCU\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie ClickFinder\tvstart.exe tvtip O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~3\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~3\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~3\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~3\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.studivz.net/photouploader/ImageUploader4.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: C:\PROGRA~3\Sophos\SOPHOS~1\SOPHOS~1.DLL O20 - Winlogon Notify: qomkiij - qomkiij.dll (file missing) O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos Agent - Sophos Plc - C:\Programme\Sophos\Remote Management System\ManagementAgentNT.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: Sophos Message Router - Sophos Plc - C:\Programme\Sophos\Remote Management System\RouterNT.exe -- End of file - 6716 bytes |
Themen zu Trojaner TR/Vundo.*.* |
antivir, aufsetzen, dateien, eingefangen, einstellungen, entferne, entfernen, gestern, interne, internet, melde, meldet, min, namen, nervt, neu, neu aufsetzen, programm, recht, schei, system, system neu, system neu aufsetzen, system32, tr/vundo.gen, trojaner, trojaner eingefangen, trojaner gefunden, virus, warnung |