Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virtumonde/Trojaner "Vundo" [Benötige Hilfe]

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.03.2008, 18:48   #1
Nasenbähr
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



Hallo!

Vorweg: Mein Problem ist nicht neu (im Forum). Dazu habe ich mir hier schon einige Beiträge angesehen. Der für mich am passendsten war, ist leider schon "etwas" alt (von 2005) und daher kann ich die sehr ausführliche Beseitigungsbeschreibung leider nicht anwenden. Die Programme zur Lösung sind bereits überholt, bzw. einige Links sind für mich nicht mehr nachvollziehbar.

Ich leg mal los...

Angefangen hat alles mit Fehlermeldungen meines Virenprogramms (Antivir), dass sich hinter diversen Dateien (unter "c:\windows/system32") der Trojaner "Vundo" verbirgt. Daraufhin habe ich alles mögliche ausprobiert, leider mit begrenztem Erfolg.

Von Atribune habe ich VundoFix heruntergeladen. In einem Forum (welches???) hatte ein Freund von mir gelesen, dass ein Leidensgenosse damit auch keinen großen Erfolg hatte und die Probleme mit FixVundo von Symantec in den Griff bekommen hätte. Das hatte ich probiert und ich konnte auch einen Fund verzeichnen und diesen beseitigen. Mein Problem war damit aber leider nicht behoben. Auch mit Ad-Aware und Spybot bin ich nicht zurecht gekommen. Stutzig bin ich geworden, als ich bei jedem neuen Scan mit Spybot Virtumonde stets immer wieder aufs neue gefunden habe.

Zusätzlich hat mir jemand empfohlen, ich solle doch mal einen Online-Scan machen.
Ich habe bei trendmicro.de den Housecall genutzt und bei f-secure.com den Online-Scanner.

Mit beidem hatte ich kein Glück.
Bei trendmicro hat sich mein Browser (IE) selbst einfach geschlossen. Daher habe ich den Firefox benutzt. Als Scanergebnis wurden mir CRYP_TAP-2 und TROJ_Vundo.AQY angezeigt. Diese konnten nicht komplett automatisch gelöscht werden und ich sollte die dll-Dateien manuell löschen.

Gelöscht habe ich unter "system32":
dadaxlwn.dll, glrmaelv.dll, oaklsucq.dll, qbwavngr.dll, tbdjygyb.dll

Nicht löschen konnte/kann ich:
jkklm.dll

Bei F-Secure konnte ich die Suche zwar beenden, allerdings geht der Browser spätestens dann zu, wenn man auf Bereinigung geht. Superärgerlich, wenn man vorher ca. 30 - 45 min gewartet hat!!! Leider ist eine Nutzung nur mit dem IE möglich...

Vielleicht kann mir jemand bei der Beseitigung des Problems (Internet Explorer geht einfach zu; auf Sportseiten, die ich schon lange nutze habe ich auf einmal Popups am Rand mit leicht bekleideten Menschen in verschiedenen Varianten ; obwohl keine Verbindung zum Internet besteht kommt ein Fenster, dass Seiteninhalte nicht im Offlinemodus angezeigt werden können; MalwareAlarm (was auch immer das ist) macht sich selbst auf und möchte gern mein System scannen,... etc.) helfen???
Leider bin ich nur eine ganz klassische Anwenderin und leider mit vielen PC-spezifischen Begriffen nicht vertraut. Zudem "kämpfe" ich nun schon seit einigen Tagen und bin ziemlich abgefressen und weiß nicht, ob ich bei einer intensiveren Suche hier im Forum die Lösung schon eventuell gefunden hätte. So langsam habe ich das Brett vor'm Kopp!

Vielen Dank schon mal vorab!!!
Ich weiß nicht, ob noch weitere Info's gebraucht werden...!?

Grüße vom Nasenbähr

Alt 24.03.2008, 21:25   #2
virus
Gast
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



hi

am besten einmal ein HijackThis logfile machen und hier posten

Einleitung für Hijackthis
__________________


Alt 25.03.2008, 11:38   #3
Nasenbähr
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



Hallo Virus!

Vielen Dank für die Antwort! Hier kommt auch prompt mein LogFile... (Hatte mich schon gefragt wie man so was macht... )

Grüße vom Nasenbähr

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:31:00, on 25.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DeTeWe\OpenDimension\winsuite\strtfx.exe
C:\Programme\DeTeWe\OpenDimension\winsuite\sndml.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Irene\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {260F1072-1C3F-4AF5-A52D-C1C48537B922} - C:\WINDOWS\system32\jkklm.dll (file missing)
O2 - BHO: (no name) - {50E311A8-4542-4B4D-A964-828689517E0F} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: {7a47b2c6-c780-1eba-0de4-cf63c055947c} - {c749550c-36fc-4ed0-abe1-087c6c2b74a7} - C:\WINDOWS\system32\ughmftoj.dll
O2 - BHO: (no name) - {E9383002-FC55-4330-B9C9-67E03BC5C840} - C:\WINDOWS\system32\cbxwttr.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [strtfx] C:\Programme\DeTeWe\OpenDimension\winsuite\strtfx.exe
O4 - HKLM\..\Run: [sndml] C:\Programme\DeTeWe\OpenDimension\winsuite\sndml.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [8e95eacd] rundll32.exe "C:\WINDOWS\system32\wxpiwyjk.dll",b
O4 - HKLM\..\Run: [BM8da6d951] Rundll32.exe "C:\WINDOWS\system32\fgnwgtfw.dll",s
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab
O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - http://www.trendsecure.com/easy_install/_activex/de/TSEasyInstallX.CAB
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - Winlogon Notify: cbxwttr - C:\WINDOWS\SYSTEM32\cbxwttr.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: GMX Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9013 bytes
__________________

Alt 25.03.2008, 14:23   #4
Usagi
Gast
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



Hallo!
Fixe bitte diese Einträge mit HiJackThis!:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = "http://search.bearshare.com/sidebar.html?src=ssb"


O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - "http://www.trendsecure.com/easy_install/_activex/de/TSEasyInstallX.CAB"

Danach such Dir VirusTotal - Free Online Virus and Malware Scan auf und lade bitte diese Dateien hoch:
C:\WINDOWS\system32\ughmftoj.dll


C:\WINDOWS\system32\cbxwttr.dll
[/B]

"C:\WINDOWS\system32\wxpiwyjk.dll",b

"C:\WINDOWS\system32\fgnwgtfw.dll

C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll

C:\WINDOWS\SYSTEM32\cbxwttr.dll

Alt 25.03.2008, 14:55   #5
virus
Gast
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



hi

bitte auch noch diese einträge fixen:

O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)

O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll


O2 - BHO: (no name) - {260F1072-1C3F-4AF5-A52D-C1C48537B922} - C:\WINDOWS\system32\jkklm.dll (file missing)

O2 - BHO: (no name) - {50E311A8-4542-4B4D-A964-828689517E0F} - (no file)

ansonsten hat usagi glaube ich alles erwischt

ps. bitte nach all diesen aktionen neues logfile erstellen und posten.
bitte auch die reports von virustotal posten danke


Alt 25.03.2008, 15:18   #6
BornToBe
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



Hallo zusammen. Ich habe genau dasselbe Problem wie oben beschrieben. Habe diverse Remover ausprobiert, haben aber alle nichts gebracht. Hoffe jemand kann schnelle Hilfe leisten.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:07:52, on 25.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe
D:\Programme\ICQ6\ICQ.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Winamp\winamp.exe
D:\Transfer\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearflix.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CTCheck] C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BM2702e59d] Rundll32.exe "C:\WINDOWS\system32\cbsgdqnr.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "D:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://D:\Programme\LeechGet 2006\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://D:\Programme\LeechGet 2006\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://D:\Programme\LeechGet 2006\\Parser.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\User\Startmenü\Programme\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://cdn1.acclaimdownloads.com/solidstateion.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15035/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E2C4638-34FC-42B1-98D9-FB4C2902AE83}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D280E0-C18D-4864-9C92-EB7B673DBA96}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10472 bytes

Alt 25.03.2008, 15:36   #7
Usagi
Gast
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



@BornToBe: Bitte mach deinen eigenen Thread auf -.-'

Alt 25.03.2008, 16:18   #8
BornToBe
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



Tut mir Leid, ich hatte gedacht,da ich dasselbe Problem habe wäre es ok es hier zu posten.

Alt 25.03.2008, 18:42   #9
Nasenbähr
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



Hallo Usagi, hallo Virus!

Vielen Dank für die Auflistungen.

Eure genannten Einträge habe ich gefixt. Nur die (von Virus) genannten

O2 - BHO: (no name) - {260F1072-1C3F-4AF5-A52D-C1C48537B922} - C:\WINDOWS\system32\jkklm.dll (file missing)

O2 - BHO: (no name) - {50E311A8-4542-4B4D-A964-828689517E0F} - (no file)


wurden mir nicht mehr aufgelistet. Wat nu...???

Die folgenden (von Usagi genannten) Dateien wollte/habe ich bei VirusTotal überprüfen lassen:

1.) C:\WINDOWS\system32\ughmftoj.dll
2.) C:\WINDOWS\system32\cbxwttr.dll[/b]
3.) C:\WINDOWS\system32\wxpiwyjk.dll",b
4.) C:\WINDOWS\system32\fgnwgtfw.dll
5.) C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
6.) C:\WINDOWS\SYSTEM32\cbxwttr.dll

Ergebnis zu 1.)

Antivirus Version letzte aktualisierung Ergebnis
AntiVir 7.6.0.75 2008.03.25 ADSPY/Virtumonde.93248.2
AVG 7.5.0.516 2008.03.25 Lop
F-Prot 4.4.2.54 2008.03.24 W32/Virtumonde.G.gen!Eldorado
Kaspersky 7.0.0.125 2008.03.25 not-a-virus:AdWare.Win32.Virtumonde.gen
Microsoft 1.3301 2008.03.25 Trojan:Win32/Vundo.gen!D
Norman 5.80.02 2008.03.25 W32/Virtumonde.QUH
Prevx1 V2 2008.03.25 Downloader.Zlob
Sophos 4.27.0 2008.03.25 Sus/Behav-200
VirusBuster 4.3.26:9 2008.03.25 Adware.Vundo.Gen!Pac.18
Webwasher-Gateway 6.6.2 2008.03.25 Ad-Spyware.Virtumonde.93248.2

weitere Informationen
File size: 93248 bytes
MD5: 45f866070174e504d20c39deac711aaa
SHA1: 9ff622a53336b9e08d6315e1c63f4f88d1c56ebe
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=433C529940765AF36CB4013B331F3A00F89EF1FD

Ergebnis zu 2.)/6.) (sind 2. und 6. identisch???)

Antivirus Version letzte aktualisierung Ergebnis
AntiVir 7.6.0.75 2008.03.25 ADSPY/Virtumonde.37376.3
AVG 7.5.0.516 2008.03.25 Generic10.AHV
BitDefender 7.2 2008.03.25 Trojan.Vundo.ECP
F-Prot 4.4.2.54 2008.03.24 W32/Virtumonde.G.gen!Eldorado
Fortinet 3.14.0.0 2008.03.25 Adware/Virtum
Ikarus T3.1.1.20 2008.03.25 Trojan.Vundo.ECP
Kaspersky 7.0.0.125 2008.03.25 not-a-virus:AdWare.Win32.Virtumonde.gen
McAfee 5258 2008.03.24 Vundo
Microsoft 1.3301 2008.03.25 Trojan:Win32/Vundo.gen!D
NOD32v2 2971 2008.03.25 Win32/Adware.Virtumonde
Norman 5.80.02 2008.03.25 W32/Virtumonde.MZZ
Prevx1 V2 2008.03.25 SpywareQuake
Rising 20.37.02.00 2008.03.24 AdWare.Win32.Vundo.b
Sophos 4.27.0 2008.03.25 Troj/Virtum-Gen
Symantec 10 2008.03.25 Trojan.Vundo
TheHacker 6.2.92.253 2008.03.25 Adware/Virtumonde.gen
VBA32 3.12.6.3 2008.03.25 AdWare.Win32.Virtumonde.gen
VirusBuster 4.3.26:9 2008.03.25 Adware.Vundo.Gen.20
Webwasher-Gateway 6.6.2 2008.03.25 Ad-Spyware.Virtumonde.37376.3

weitere Informationen
File size: 37376 bytes
MD5: 6a692e07e449af9ff981fe3429987a7a
SHA1: bca53441fbf17e52a39366dc0c72b32b4d7f824b
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8110138D00E815B3922D001DA7C16B003878ECD3

Ergebnis zu 3.)

Antivirus Version letzte aktualisierung Ergebnis
AVG 7.5.0.516 2008.03.25 Lop
F-Prot 4.4.2.54 2008.03.24 W32/Virtumonde.G.gen!Eldorado
Kaspersky 7.0.0.125 2008.03.25 not-a-virus:AdWare.Win32.Virtumonde.gen
Microsoft 1.3301 2008.03.25 Trojan:Win32/Vundo.gen!D
Panda 9.0.0.4 2008.03.25 Suspicious file
Prevx1 V2 2008.03.25 Downloader.Zlob
Rising 20.37.02.00 2008.03.24 AdWare.Win32.Virtumonde.ggs
Sophos 4.27.0 2008.03.25 Sus/Behav-200
VirusBuster 4.3.26:9 2008.03.25 Adware.Vundo.Gen!Pac.18

weitere Informationen
File size: 89152 bytes
MD5: 837ce6894289dba303833a441fd522b2
SHA1: 1718f75d7d0fe93eaf4d7f5575b25bae531de9f2
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=E1BF3481403B5A665C6B0117D069160029BD8F7A

Ergebnis zu 4.)

Antivirus Version letzte aktualisierung Ergebnis
AntiVir 7.6.0.75 2008.03.25 TR/Vundo.EER
BitDefender 7.2 2008.03.25 Trojan.Vundo.EER
F-Prot 4.4.2.54 2008.03.24 W32/Virtumonde.G.gen!Eldorado
Kaspersky 7.0.0.125 2008.03.25 not-a-virus:AdWare.Win32.Virtumonde.gen
Microsoft 1.3301 2008.03.25 Trojan:Win32/Vundo.gen!D
Norman 5.80.02 2008.03.25 W32/Virtumonde.QUK
Panda 9.0.0.4 2008.03.25 Suspicious file
Prevx1 V2 2008.03.25 Downloader.Zlob
Sophos 4.27.0 2008.03.25 Sus/Behav-200
VirusBuster 4.3.26:9 2008.03.25 Adware.Vundo.Gen!Pac.18
Webwasher-Gateway 6.6.2 2008.03.25 Trojan.Vundo.EER

weitere Informationen
File size: 92224 bytes
MD5: 1b62e7c3695627993e150d7aaa3af394
SHA1: c7fa34c01c44e982542c339cd92213202bdacc4e
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=357604F240982B4D682A016EF53897001B3B6000

Bemerkung zu 5.)

Diese Datei habe ich nicht zum Hochladen gefunden!!!

So, nun kommt noch eine kleine Hürde...

Ich kann zwar ein neues Logfile erstellen, allerdings schließt sich HiJackThis, wenn ich auf den Button "Save log" gehe. Und nü...???

Merci und Gruß vom Nasenbähr

Alt 25.03.2008, 20:21   #10
Usagi
Gast
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



Die Vundo's bekommen wir mit etwas Glück alle wieder weg , aber bei Zlob ist es schon ein bisschen schwieriger.
Zur Entfernung von Zlob folge bitte dieser Anleitung:
http://www.trojaner-board.de/30411-a...-von-zlob.html
Wie auch schon GUA in der Anleitung aufmerksam macht:
Zitat:
Aufgrund der Komplexität von Zlob kann nicht garantiert werde, dass mit der folgenden Anleitung der Trojaner komplett entfernt wird, die sicherste Methode ein vertrauenswürdiges System wieder herzustellen ist ein Neuaufsetzen.
Könntest Du auch diese Anleitung zu Herzen nehmen :http://www.trojaner-board.de/12154-a...sicherung.html

Alt 25.03.2008, 21:00   #11
nochdigger
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



Hallo

evtl. hab ich ja was übersehen aber wo versteckt sich der Zlob?

@Nasenbähr noch nicht formatieren bitte


MFG

Geändert von nochdigger (25.03.2008 um 21:10 Uhr)

Alt 25.03.2008, 22:43   #12
Usagi
Gast
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



@nochdigger:
Zitat:
Ergebnis zu 3.)

Antivirus Version letzte aktualisierung Ergebnis
AVG 7.5.0.516 2008.03.25 Lop
F-Prot 4.4.2.54 2008.03.24 W32/Virtumonde.G.gen!Eldorado
Kaspersky 7.0.0.125 2008.03.25 not-a-virus:AdWare.Win32.Virtumonde.gen
Microsoft 1.3301 2008.03.25 Trojan:Win32/Vundo.gen!D
Panda 9.0.0.4 2008.03.25 Suspicious file
Prevx1 V2 2008.03.25 Downloader.Zlob
Rising 20.37.02.00 2008.03.24 AdWare.Win32.Virtumonde.ggs
Sophos 4.27.0 2008.03.25 Sus/Behav-200
VirusBuster 4.3.26:9 2008.03.25 Adware.Vundo.Gen!Pac.18
Oder sehe ich das falsch ?

Zitat:
Ergebnis zu 4.)

Antivirus Version letzte aktualisierung Ergebnis
AntiVir 7.6.0.75 2008.03.25 TR/Vundo.EER
BitDefender 7.2 2008.03.25 Trojan.Vundo.EER
F-Prot 4.4.2.54 2008.03.24 W32/Virtumonde.G.gen!Eldorado
Kaspersky 7.0.0.125 2008.03.25 not-a-virus:AdWare.Win32.Virtumonde.gen
Microsoft 1.3301 2008.03.25 Trojan:Win32/Vundo.gen!D
Norman 5.80.02 2008.03.25 W32/Virtumonde.QUK
Panda 9.0.0.4 2008.03.25 Suspicious file
Prevx1 V2 2008.03.25 Downloader.Zlob
Sophos 4.27.0 2008.03.25 Sus/Behav-200
VirusBuster 4.3.26:9 2008.03.25 Adware.Vundo.Gen!Pac.18
Webwasher-Gateway 6.6.2 2008.03.25 Trojan.Vundo.EER

Alt 26.03.2008, 00:16   #13
Brittaaaa
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



huhu ich hab zwar überhaupt keine ahnung aber den vundo trojaner hab ich durch Bit defender weg bekommen, denn ich hatte auch den vundo... was bit defnder nicht löscht versuch das mal mit dem scan programm vundo fix (googeln) wie gesagt kenn mich gar nicht aus aber bei mir hats geholfen

Alt 26.03.2008, 07:04   #14
nochdigger
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



Moin

Zitat:
Zitat von Brittaaaa
huhu ich hab zwar überhaupt keine ahnung aber den vundo trojaner hab ich durch Bit defender weg bekommen, denn ich hatte auch den vundo... was bit defnder nicht löscht versuch das mal mit dem scan programm vundo fix (googeln) wie gesagt kenn mich gar nicht aus aber bei mir hats geholfen
es würde mich zwar etwas wundern, aber schön für dich


@Nasenbähr bitte diese beiden Anleitungen abarbeiten und anschließend die Logs hierher posten.
Vundofix
combofix
dann sehen wir weiter.

MFG

Alt 26.03.2008, 08:24   #15
Nasenbähr
 
Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Standard

Virtumonde/Trojaner "Vundo" [Benötige Hilfe]



Guten Morgen!

Ich probier das jetzt mal aus mit Vundo und Combo.
Die Anleitung von Zlob arbeite ich doch aber auch noch ab, oder!?

Gruß vom Nasenbähr

Hier nun noch das LogFile von Combo...

ComboFix 08-03-25.3 - *** 2008-03-26 8:34:35.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.85 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM8da6d951.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\cbxwttr.dll
C:\WINDOWS\system32\eobtbjcl.dll
C:\WINDOWS\system32\fgnwgtfw.dll
C:\WINDOWS\system32\kjywipxw.ini
C:\WINDOWS\system32\ljgsituy.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mllmm.dll
C:\WINDOWS\system32\mmllm.ini
C:\WINDOWS\system32\mmllm.ini2
C:\WINDOWS\system32\podstutg.dll
C:\WINDOWS\system32\ptmvmjgb.dll
C:\WINDOWS\system32\ughmftoj.dll
C:\WINDOWS\system32\wxpiwyjk.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-26 bis 2008-03-26 ))))))))))))))))))))))))))))))
.

2008-03-26 08:27 . 2008-03-26 08:27 <DIR> d-------- C:\Programme\CCleaner
2008-03-24 00:31 . 2008-03-24 00:31 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Softplicity
2008-03-22 15:47 . 2008-03-24 11:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-03-21 23:15 . 2008-03-24 10:20 1,543,939 ---hs---- C:\WINDOWS\system32\bygyjdbt.ini
2008-03-21 14:05 . 2008-03-22 12:53 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-03-21 02:47 . 2008-03-21 02:47 1,142 --a------ C:\WINDOWS\mozver.dat
2008-03-20 23:51 . 2008-03-21 15:33 <DIR> d-------- C:\Programme\Opera
2008-03-20 22:21 . 2005-06-13 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2008-03-20 22:21 . 2005-06-13 11:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-20 22:21 . 2005-06-13 11:32 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2008-03-20 22:21 . 2005-06-13 11:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-03-20 22:21 . 2005-06-13 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-20 22:21 . 2005-06-13 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-20 22:21 . 2005-07-22 07:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-20 22:21 . 2005-07-22 07:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-20 22:21 . 2005-06-13 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-20 22:21 . 2005-07-22 07:29 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-20 21:52 . 2008-03-20 21:49 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-03-20 21:49 . 2008-03-24 13:13 <DIR> d-------- C:\Dokumente und Einstellungen\***\.housecall6.6
2008-03-20 21:49 . 2005-04-13 03:48 49,265 --a------ C:\WINDOWS\system32\jpicpl32.cpl
2008-03-20 21:48 . 2008-03-20 21:48 <DIR> d-------- C:\Programme\Java
2008-03-20 21:47 . 2008-03-20 21:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-03-20 19:08 . 2008-03-20 19:08 <DIR> d-------- C:\fsaua.data
2008-03-20 18:58 . 2008-03-21 14:38 1,540,292 ---hs---- C:\WINDOWS\system32\vleamrlg.ini
2008-03-19 10:56 . 2007-10-12 13:00 44,544 -ra------ C:\WINDOWS\system32\msxml4a.dll
2008-03-19 10:55 . 2008-03-21 01:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX
2008-03-19 10:50 . 2008-03-21 01:05 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2008-03-19 10:48 . 2008-03-19 10:51 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-03-19 10:41 . 2007-12-07 03:04 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-03-19 10:41 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-03-19 10:41 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-03-19 10:41 . 2007-12-07 03:04 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-19 10:41 . 2007-12-07 03:04 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-03-19 10:41 . 2007-12-07 03:04 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-03-19 10:41 . 2007-12-07 03:04 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-03-19 10:41 . 2007-12-07 03:04 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-19 10:41 . 2007-12-06 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-03-19 10:03 . 2008-03-22 13:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-19 00:23 . 2008-03-19 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss
2008-03-18 21:27 . 2008-03-18 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software
2008-03-18 21:27 . 2008-03-18 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-03-18 21:27 . 2008-03-18 21:27 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-03-18 21:27 . 2008-02-27 13:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-03-18 21:26 . 2008-03-18 21:27 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-03-18 20:28 . 2008-03-18 20:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-18 20:25 . 2008-03-18 21:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-18 18:08 . 2008-03-18 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\BearShare
2008-03-18 18:07 . 2008-03-18 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Zylom
2008-03-18 18:07 . 2008-03-18 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SopCast
2008-03-18 18:07 . 2008-03-18 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield
2008-03-18 18:07 . 2008-03-18 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AOL
2008-03-18 18:07 . 2008-03-18 18:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-03-18 12:29 . 2008-03-24 17:04 <DIR> d-------- C:\VundoFix Backups
2008-03-16 21:00 . 2008-03-16 21:00 63 --a------ C:\WINDOWS\system32\8e95f843

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-19 20:30 --------- d-----w C:\Programme\audiograbber
2008-03-19 09:33 --------- d-----w C:\Programme\QuickTime
2008-03-18 19:29 --------- d-----w C:\Programme\Lavasoft
2008-03-18 19:29 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Lavasoft
2008-03-18 17:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-18 17:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Lexware
2008-02-09 16:06 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nokia
2008-02-09 15:59 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nokia Multimedia Player
2008-02-01 18:11 --------- d-----w C:\Programme\Windows Media Connect 2
2008-02-01 18:08 --------- d-----w C:\Programme\Windows Media Connect
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{260F1072-1C3F-4AF5-A52D-C1C48537B922}]
C:\WINDOWS\system32\jkklm.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDeck"="C:\Programme\VIAudioi\SBADeck\ADeck.exe" [2004-09-30 07:44 7957504]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 00:07 32768]
"nwiz"="nwiz.exe" [2005-04-01 15:16 1495040 C:\WINDOWS\system32\nwiz.exe]
"strtfx"="C:\Programme\DeTeWe\OpenDimension\winsuite\strtfx.exe" [2003-10-10 15:05 24576]
"sndml"="C:\Programme\DeTeWe\OpenDimension\winsuite\sndml.exe" [2003-10-09 16:00 32768]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2005-07-15 14:32 26112]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-18 18:55 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-04-01 15:16 5562368]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-06-15 11:36 229376]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-04-01 15:16 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 03:48 36975]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxwttr]
cbxwttr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\GMX\\gmx_Update.exe"=

R2 AdminSVC;GMX Browser Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe [2007-10-12 13:00]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
S3 dtwmnic5;DeTeWe OpenCom 30 plus;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-18 21:27]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-03-26 07:39:43 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-26 08:40:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-26 8:44:13 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-26 07:44:07

Geändert von Nasenbähr (26.03.2008 um 09:08 Uhr)

Antwort

Themen zu Virtumonde/Trojaner "Vundo" [Benötige Hilfe]
.dll, ad-aware, antivir, auf einmal, browser, dateien, diverse, explorer, firefox, gebraucht, helfen, immer wieder, internet, internet explorer, langsam, neu, neue, popups, problem, programme, scan, seiten, suche, symantec, trojaner, virtumonde, vundo




Ähnliche Themen: Virtumonde/Trojaner "Vundo" [Benötige Hilfe]


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. BKA Trojaner auf meinem Laptop "Ihr Computer wurde gesperrt" Benötige Hilfe
    Plagegeister aller Art und deren Bekämpfung - 20.07.2012 (10)
  3. OTL.txt ""sie haben sich mit einem windows-verschlüsselungs trojaner infiziert", ich bitte um hilfe.
    Log-Analyse und Auswertung - 10.06.2012 (3)
  4. BKA Trojaner - habe mit OTLpe txt Datei erstellt - benötige nun eine "FIX-Datei"?
    Log-Analyse und Auswertung - 11.10.2011 (1)
  5. "Trojan.Vundo-Variant/F" in Datei "C:\Windows\Syswow64\avsredirect.dll" + vorher weitere Schädlinge
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (15)
  6. Trojaner: Gen:Trojan.Heur.Vundo.by4@dCgCSGe - "svchost.exe"
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (1)
  7. Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (28)
  8. Hilfe! Avir findet "tolle Sachen" ADSPY/Mostofate.CX,TR/Stuh.A,TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 02.04.2009 (10)
  9. Trojaner "TR/Vundo.Gen" und Wurm über MSN eigefangen.
    Log-Analyse und Auswertung - 09.11.2008 (2)
  10. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  11. benötige Hilfe bei Trojaner "TR/Virtumod.WS" bzw. "jkkjjgd.dll"
    Plagegeister aller Art und deren Bekämpfung - 07.04.2008 (10)
  12. Hartnäckiger Trojaner "Vundo" NICHT löschbar bzw. entfernbar!
    Plagegeister aller Art und deren Bekämpfung - 04.10.2007 (1)
  13. Trojaner "Virtumonde" und seine üblen Kumpane...
    Plagegeister aller Art und deren Bekämpfung - 24.09.2007 (23)
  14. Ich habe den Trojaner "TR/Vundo.708628"
    Plagegeister aller Art und deren Bekämpfung - 10.03.2007 (18)
  15. Benötige eure hilfe "Csrrs.exe"
    Plagegeister aller Art und deren Bekämpfung - 17.01.2007 (2)
  16. Benötige dringend Hilfe: "NDrv.exe"
    Plagegeister aller Art und deren Bekämpfung - 02.07.2004 (3)
  17. benötige hilfe : "Troj/StartPg-BG "
    Plagegeister aller Art und deren Bekämpfung - 12.03.2004 (8)

Zum Thema Virtumonde/Trojaner "Vundo" [Benötige Hilfe] - Hallo! Vorweg: Mein Problem ist nicht neu (im Forum). Dazu habe ich mir hier schon einige Beiträge angesehen. Der für mich am passendsten war, ist leider schon "etwas" alt (von - Virtumonde/Trojaner "Vundo" [Benötige Hilfe]...
Archiv
Du betrachtest: Virtumonde/Trojaner "Vundo" [Benötige Hilfe] auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.