|
Plagegeister aller Art und deren Bekämpfung: Virtumonde/Trojaner "Vundo" [Benötige Hilfe]Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.03.2008, 18:48 | #1 |
| Virtumonde/Trojaner "Vundo" [Benötige Hilfe] Hallo! Vorweg: Mein Problem ist nicht neu (im Forum). Dazu habe ich mir hier schon einige Beiträge angesehen. Der für mich am passendsten war, ist leider schon "etwas" alt (von 2005) und daher kann ich die sehr ausführliche Beseitigungsbeschreibung leider nicht anwenden. Die Programme zur Lösung sind bereits überholt, bzw. einige Links sind für mich nicht mehr nachvollziehbar. Ich leg mal los... Angefangen hat alles mit Fehlermeldungen meines Virenprogramms (Antivir), dass sich hinter diversen Dateien (unter "c:\windows/system32") der Trojaner "Vundo" verbirgt. Daraufhin habe ich alles mögliche ausprobiert, leider mit begrenztem Erfolg. Von Atribune habe ich VundoFix heruntergeladen. In einem Forum (welches???) hatte ein Freund von mir gelesen, dass ein Leidensgenosse damit auch keinen großen Erfolg hatte und die Probleme mit FixVundo von Symantec in den Griff bekommen hätte. Das hatte ich probiert und ich konnte auch einen Fund verzeichnen und diesen beseitigen. Mein Problem war damit aber leider nicht behoben. Auch mit Ad-Aware und Spybot bin ich nicht zurecht gekommen. Stutzig bin ich geworden, als ich bei jedem neuen Scan mit Spybot Virtumonde stets immer wieder aufs neue gefunden habe. Zusätzlich hat mir jemand empfohlen, ich solle doch mal einen Online-Scan machen. Ich habe bei trendmicro.de den Housecall genutzt und bei f-secure.com den Online-Scanner. Mit beidem hatte ich kein Glück. Bei trendmicro hat sich mein Browser (IE) selbst einfach geschlossen. Daher habe ich den Firefox benutzt. Als Scanergebnis wurden mir CRYP_TAP-2 und TROJ_Vundo.AQY angezeigt. Diese konnten nicht komplett automatisch gelöscht werden und ich sollte die dll-Dateien manuell löschen. Gelöscht habe ich unter "system32": dadaxlwn.dll, glrmaelv.dll, oaklsucq.dll, qbwavngr.dll, tbdjygyb.dll Nicht löschen konnte/kann ich: jkklm.dll Bei F-Secure konnte ich die Suche zwar beenden, allerdings geht der Browser spätestens dann zu, wenn man auf Bereinigung geht. Superärgerlich, wenn man vorher ca. 30 - 45 min gewartet hat!!! Leider ist eine Nutzung nur mit dem IE möglich... Vielleicht kann mir jemand bei der Beseitigung des Problems (Internet Explorer geht einfach zu; auf Sportseiten, die ich schon lange nutze habe ich auf einmal Popups am Rand mit leicht bekleideten Menschen in verschiedenen Varianten ; obwohl keine Verbindung zum Internet besteht kommt ein Fenster, dass Seiteninhalte nicht im Offlinemodus angezeigt werden können; MalwareAlarm (was auch immer das ist) macht sich selbst auf und möchte gern mein System scannen,... etc.) helfen??? Leider bin ich nur eine ganz klassische Anwenderin und leider mit vielen PC-spezifischen Begriffen nicht vertraut. Zudem "kämpfe" ich nun schon seit einigen Tagen und bin ziemlich abgefressen und weiß nicht, ob ich bei einer intensiveren Suche hier im Forum die Lösung schon eventuell gefunden hätte. So langsam habe ich das Brett vor'm Kopp! Vielen Dank schon mal vorab!!! Ich weiß nicht, ob noch weitere Info's gebraucht werden...!? Grüße vom Nasenbähr |
24.03.2008, 21:25 | #2 |
Gast | Virtumonde/Trojaner "Vundo" [Benötige Hilfe]__________________ |
25.03.2008, 11:38 | #3 |
| Virtumonde/Trojaner "Vundo" [Benötige Hilfe] Hallo Virus!
__________________Vielen Dank für die Antwort! Hier kommt auch prompt mein LogFile... (Hatte mich schon gefragt wie man so was macht... ) Grüße vom Nasenbähr Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:31:00, on 25.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\VIAudioi\SBADeck\ADeck.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\DeTeWe\OpenDimension\winsuite\strtfx.exe C:\Programme\DeTeWe\OpenDimension\winsuite\sndml.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre1.5.0_03\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Irene\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {260F1072-1C3F-4AF5-A52D-C1C48537B922} - C:\WINDOWS\system32\jkklm.dll (file missing) O2 - BHO: (no name) - {50E311A8-4542-4B4D-A964-828689517E0F} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: {7a47b2c6-c780-1eba-0de4-cf63c055947c} - {c749550c-36fc-4ed0-abe1-087c6c2b74a7} - C:\WINDOWS\system32\ughmftoj.dll O2 - BHO: (no name) - {E9383002-FC55-4330-B9C9-67E03BC5C840} - C:\WINDOWS\system32\cbxwttr.dll O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [strtfx] C:\Programme\DeTeWe\OpenDimension\winsuite\strtfx.exe O4 - HKLM\..\Run: [sndml] C:\Programme\DeTeWe\OpenDimension\winsuite\sndml.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM\..\Run: [8e95eacd] rundll32.exe "C:\WINDOWS\system32\wxpiwyjk.dll",b O4 - HKLM\..\Run: [BM8da6d951] Rundll32.exe "C:\WINDOWS\system32\fgnwgtfw.dll",s O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - http://www.trendsecure.com/easy_install/_activex/de/TSEasyInstallX.CAB O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader.cab O18 - Protocol: haufereader - (no CLSID) - (no file) O20 - Winlogon Notify: cbxwttr - C:\WINDOWS\SYSTEM32\cbxwttr.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: GMX Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 9013 bytes |
25.03.2008, 14:23 | #4 |
Gast | Virtumonde/Trojaner "Vundo" [Benötige Hilfe]Hallo! Fixe bitte diese Einträge mit HiJackThis!: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = "http://search.bearshare.com/sidebar.html?src=ssb" O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - "http://www.trendsecure.com/easy_install/_activex/de/TSEasyInstallX.CAB" Danach such Dir VirusTotal - Free Online Virus and Malware Scan auf und lade bitte diese Dateien hoch: C:\WINDOWS\system32\ughmftoj.dll C:\WINDOWS\system32\cbxwttr.dll[/B] "C:\WINDOWS\system32\wxpiwyjk.dll",b "C:\WINDOWS\system32\fgnwgtfw.dll C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll C:\WINDOWS\SYSTEM32\cbxwttr.dll |
25.03.2008, 14:55 | #5 |
Gast | Virtumonde/Trojaner "Vundo" [Benötige Hilfe] hi bitte auch noch diese einträge fixen: O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file) O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O2 - BHO: (no name) - {260F1072-1C3F-4AF5-A52D-C1C48537B922} - C:\WINDOWS\system32\jkklm.dll (file missing) O2 - BHO: (no name) - {50E311A8-4542-4B4D-A964-828689517E0F} - (no file) ansonsten hat usagi glaube ich alles erwischt ps. bitte nach all diesen aktionen neues logfile erstellen und posten. bitte auch die reports von virustotal posten danke |
25.03.2008, 15:18 | #6 |
| Virtumonde/Trojaner "Vundo" [Benötige Hilfe] Hallo zusammen. Ich habe genau dasselbe Problem wie oben beschrieben. Habe diverse Remover ausprobiert, haben aber alle nichts gebracht. Hoffe jemand kann schnelle Hilfe leisten. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:07:52, on 25.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\Explorer.EXE D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Logitech\Gaming Software\LWEMon.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\XpertVision\TBPanel.exe C:\WINDOWS\system32\CTXFIHLP.EXE C:\WINDOWS\CTHELPER.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\SYSTEM32\CTXFISPI.EXE C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe D:\Programme\ICQ6\ICQ.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\Windows Live\Messenger\usnsvc.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Winamp\winamp.exe D:\Transfer\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearflix.com/de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [CTCheck] C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [BM2702e59d] Rundll32.exe "C:\WINDOWS\system32\cbsgdqnr.dll",s O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [YAW starten] "D:\Programme\YAW 3.5\yawguard.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe" O4 - HKCU\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://D:\Programme\LeechGet 2006\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://D:\Programme\LeechGet 2006\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://D:\Programme\LeechGet 2006\\Parser.html O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\User\Startmenü\Programme\IMVU\Run IMVU.lnk O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://cdn1.acclaimdownloads.com/solidstateion.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15035/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2E2C4638-34FC-42B1-98D9-FB4C2902AE83}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D280E0-C18D-4864-9C92-EB7B673DBA96}: NameServer = 192.168.1.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 10472 bytes |
25.03.2008, 15:36 | #7 |
Gast | Virtumonde/Trojaner "Vundo" [Benötige Hilfe] @BornToBe: Bitte mach deinen eigenen Thread auf -.-' |
25.03.2008, 16:18 | #8 |
| Virtumonde/Trojaner "Vundo" [Benötige Hilfe] Tut mir Leid, ich hatte gedacht,da ich dasselbe Problem habe wäre es ok es hier zu posten. |
25.03.2008, 18:42 | #9 |
| Virtumonde/Trojaner "Vundo" [Benötige Hilfe] Hallo Usagi, hallo Virus! Vielen Dank für die Auflistungen. Eure genannten Einträge habe ich gefixt. Nur die (von Virus) genannten O2 - BHO: (no name) - {260F1072-1C3F-4AF5-A52D-C1C48537B922} - C:\WINDOWS\system32\jkklm.dll (file missing) O2 - BHO: (no name) - {50E311A8-4542-4B4D-A964-828689517E0F} - (no file) wurden mir nicht mehr aufgelistet. Wat nu...??? Die folgenden (von Usagi genannten) Dateien wollte/habe ich bei VirusTotal überprüfen lassen: 1.) C:\WINDOWS\system32\ughmftoj.dll 2.) C:\WINDOWS\system32\cbxwttr.dll[/b] 3.) C:\WINDOWS\system32\wxpiwyjk.dll",b 4.) C:\WINDOWS\system32\fgnwgtfw.dll 5.) C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll 6.) C:\WINDOWS\SYSTEM32\cbxwttr.dll Ergebnis zu 1.) Antivirus Version letzte aktualisierung Ergebnis AntiVir 7.6.0.75 2008.03.25 ADSPY/Virtumonde.93248.2 AVG 7.5.0.516 2008.03.25 Lop F-Prot 4.4.2.54 2008.03.24 W32/Virtumonde.G.gen!Eldorado Kaspersky 7.0.0.125 2008.03.25 not-a-virus:AdWare.Win32.Virtumonde.gen Microsoft 1.3301 2008.03.25 Trojan:Win32/Vundo.gen!D Norman 5.80.02 2008.03.25 W32/Virtumonde.QUH Prevx1 V2 2008.03.25 Downloader.Zlob Sophos 4.27.0 2008.03.25 Sus/Behav-200 VirusBuster 4.3.26:9 2008.03.25 Adware.Vundo.Gen!Pac.18 Webwasher-Gateway 6.6.2 2008.03.25 Ad-Spyware.Virtumonde.93248.2 weitere Informationen File size: 93248 bytes MD5: 45f866070174e504d20c39deac711aaa SHA1: 9ff622a53336b9e08d6315e1c63f4f88d1c56ebe PEiD: - Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=433C529940765AF36CB4013B331F3A00F89EF1FD Ergebnis zu 2.)/6.) (sind 2. und 6. identisch???) Antivirus Version letzte aktualisierung Ergebnis AntiVir 7.6.0.75 2008.03.25 ADSPY/Virtumonde.37376.3 AVG 7.5.0.516 2008.03.25 Generic10.AHV BitDefender 7.2 2008.03.25 Trojan.Vundo.ECP F-Prot 4.4.2.54 2008.03.24 W32/Virtumonde.G.gen!Eldorado Fortinet 3.14.0.0 2008.03.25 Adware/Virtum Ikarus T3.1.1.20 2008.03.25 Trojan.Vundo.ECP Kaspersky 7.0.0.125 2008.03.25 not-a-virus:AdWare.Win32.Virtumonde.gen McAfee 5258 2008.03.24 Vundo Microsoft 1.3301 2008.03.25 Trojan:Win32/Vundo.gen!D NOD32v2 2971 2008.03.25 Win32/Adware.Virtumonde Norman 5.80.02 2008.03.25 W32/Virtumonde.MZZ Prevx1 V2 2008.03.25 SpywareQuake Rising 20.37.02.00 2008.03.24 AdWare.Win32.Vundo.b Sophos 4.27.0 2008.03.25 Troj/Virtum-Gen Symantec 10 2008.03.25 Trojan.Vundo TheHacker 6.2.92.253 2008.03.25 Adware/Virtumonde.gen VBA32 3.12.6.3 2008.03.25 AdWare.Win32.Virtumonde.gen VirusBuster 4.3.26:9 2008.03.25 Adware.Vundo.Gen.20 Webwasher-Gateway 6.6.2 2008.03.25 Ad-Spyware.Virtumonde.37376.3 weitere Informationen File size: 37376 bytes MD5: 6a692e07e449af9ff981fe3429987a7a SHA1: bca53441fbf17e52a39366dc0c72b32b4d7f824b PEiD: - Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8110138D00E815B3922D001DA7C16B003878ECD3 Ergebnis zu 3.) Antivirus Version letzte aktualisierung Ergebnis AVG 7.5.0.516 2008.03.25 Lop F-Prot 4.4.2.54 2008.03.24 W32/Virtumonde.G.gen!Eldorado Kaspersky 7.0.0.125 2008.03.25 not-a-virus:AdWare.Win32.Virtumonde.gen Microsoft 1.3301 2008.03.25 Trojan:Win32/Vundo.gen!D Panda 9.0.0.4 2008.03.25 Suspicious file Prevx1 V2 2008.03.25 Downloader.Zlob Rising 20.37.02.00 2008.03.24 AdWare.Win32.Virtumonde.ggs Sophos 4.27.0 2008.03.25 Sus/Behav-200 VirusBuster 4.3.26:9 2008.03.25 Adware.Vundo.Gen!Pac.18 weitere Informationen File size: 89152 bytes MD5: 837ce6894289dba303833a441fd522b2 SHA1: 1718f75d7d0fe93eaf4d7f5575b25bae531de9f2 PEiD: - Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=E1BF3481403B5A665C6B0117D069160029BD8F7A Ergebnis zu 4.) Antivirus Version letzte aktualisierung Ergebnis AntiVir 7.6.0.75 2008.03.25 TR/Vundo.EER BitDefender 7.2 2008.03.25 Trojan.Vundo.EER F-Prot 4.4.2.54 2008.03.24 W32/Virtumonde.G.gen!Eldorado Kaspersky 7.0.0.125 2008.03.25 not-a-virus:AdWare.Win32.Virtumonde.gen Microsoft 1.3301 2008.03.25 Trojan:Win32/Vundo.gen!D Norman 5.80.02 2008.03.25 W32/Virtumonde.QUK Panda 9.0.0.4 2008.03.25 Suspicious file Prevx1 V2 2008.03.25 Downloader.Zlob Sophos 4.27.0 2008.03.25 Sus/Behav-200 VirusBuster 4.3.26:9 2008.03.25 Adware.Vundo.Gen!Pac.18 Webwasher-Gateway 6.6.2 2008.03.25 Trojan.Vundo.EER weitere Informationen File size: 92224 bytes MD5: 1b62e7c3695627993e150d7aaa3af394 SHA1: c7fa34c01c44e982542c339cd92213202bdacc4e PEiD: - Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=357604F240982B4D682A016EF53897001B3B6000 Bemerkung zu 5.) Diese Datei habe ich nicht zum Hochladen gefunden!!! So, nun kommt noch eine kleine Hürde... Ich kann zwar ein neues Logfile erstellen, allerdings schließt sich HiJackThis, wenn ich auf den Button "Save log" gehe. Und nü...??? Merci und Gruß vom Nasenbähr |
25.03.2008, 20:21 | #10 | |
Gast | Virtumonde/Trojaner "Vundo" [Benötige Hilfe] Die Vundo's bekommen wir mit etwas Glück alle wieder weg , aber bei Zlob ist es schon ein bisschen schwieriger. Zur Entfernung von Zlob folge bitte dieser Anleitung: http://www.trojaner-board.de/30411-a...-von-zlob.html Wie auch schon GUA in der Anleitung aufmerksam macht: Zitat:
|
25.03.2008, 21:00 | #11 |
| Virtumonde/Trojaner "Vundo" [Benötige Hilfe] Hallo evtl. hab ich ja was übersehen aber wo versteckt sich der Zlob? @Nasenbähr noch nicht formatieren bitte MFG Geändert von nochdigger (25.03.2008 um 21:10 Uhr) |
25.03.2008, 22:43 | #12 | ||
Gast | Virtumonde/Trojaner "Vundo" [Benötige Hilfe] @nochdigger: Zitat:
Zitat:
|
26.03.2008, 00:16 | #13 |
| Virtumonde/Trojaner "Vundo" [Benötige Hilfe] huhu ich hab zwar überhaupt keine ahnung aber den vundo trojaner hab ich durch Bit defender weg bekommen, denn ich hatte auch den vundo... was bit defnder nicht löscht versuch das mal mit dem scan programm vundo fix (googeln) wie gesagt kenn mich gar nicht aus aber bei mir hats geholfen |
26.03.2008, 07:04 | #14 | |
| Virtumonde/Trojaner "Vundo" [Benötige Hilfe] Moin Zitat:
@Nasenbähr bitte diese beiden Anleitungen abarbeiten und anschließend die Logs hierher posten. Vundofixdann sehen wir weiter. MFG |
26.03.2008, 08:24 | #15 |
| Virtumonde/Trojaner "Vundo" [Benötige Hilfe] Guten Morgen! Ich probier das jetzt mal aus mit Vundo und Combo. Die Anleitung von Zlob arbeite ich doch aber auch noch ab, oder!? Gruß vom Nasenbähr Hier nun noch das LogFile von Combo... ComboFix 08-03-25.3 - *** 2008-03-26 8:34:35.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.85 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\BM8da6d951.xml C:\WINDOWS\cookies.ini C:\WINDOWS\pskt.ini C:\WINDOWS\system32\cbxwttr.dll C:\WINDOWS\system32\eobtbjcl.dll C:\WINDOWS\system32\fgnwgtfw.dll C:\WINDOWS\system32\kjywipxw.ini C:\WINDOWS\system32\ljgsituy.dll C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\mllmm.dll C:\WINDOWS\system32\mmllm.ini C:\WINDOWS\system32\mmllm.ini2 C:\WINDOWS\system32\podstutg.dll C:\WINDOWS\system32\ptmvmjgb.dll C:\WINDOWS\system32\ughmftoj.dll C:\WINDOWS\system32\wxpiwyjk.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-02-26 bis 2008-03-26 )))))))))))))))))))))))))))))) . 2008-03-26 08:27 . 2008-03-26 08:27 <DIR> d-------- C:\Programme\CCleaner 2008-03-24 00:31 . 2008-03-24 00:31 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Softplicity 2008-03-22 15:47 . 2008-03-24 11:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip 2008-03-21 23:15 . 2008-03-24 10:20 1,543,939 ---hs---- C:\WINDOWS\system32\bygyjdbt.ini 2008-03-21 14:05 . 2008-03-22 12:53 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-03-21 02:47 . 2008-03-21 02:47 1,142 --a------ C:\WINDOWS\mozver.dat 2008-03-20 23:51 . 2008-03-21 15:33 <DIR> d-------- C:\Programme\Opera 2008-03-20 22:21 . 2005-06-13 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS 2008-03-20 22:21 . 2005-06-13 11:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-03-20 22:21 . 2005-06-13 11:32 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData 2008-03-20 22:21 . 2005-06-13 11:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2008-03-20 22:21 . 2005-06-13 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-03-20 22:21 . 2005-06-13 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-03-20 22:21 . 2005-07-22 07:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-03-20 22:21 . 2005-07-22 07:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-03-20 22:21 . 2005-06-13 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-03-20 22:21 . 2005-07-22 07:29 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-03-20 21:52 . 2008-03-20 21:49 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2008-03-20 21:49 . 2008-03-24 13:13 <DIR> d-------- C:\Dokumente und Einstellungen\***\.housecall6.6 2008-03-20 21:49 . 2005-04-13 03:48 49,265 --a------ C:\WINDOWS\system32\jpicpl32.cpl 2008-03-20 21:48 . 2008-03-20 21:48 <DIR> d-------- C:\Programme\Java 2008-03-20 21:47 . 2008-03-20 21:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java 2008-03-20 19:08 . 2008-03-20 19:08 <DIR> d-------- C:\fsaua.data 2008-03-20 18:58 . 2008-03-21 14:38 1,540,292 ---hs---- C:\WINDOWS\system32\vleamrlg.ini 2008-03-19 10:56 . 2007-10-12 13:00 44,544 -ra------ C:\WINDOWS\system32\msxml4a.dll 2008-03-19 10:55 . 2008-03-21 01:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX 2008-03-19 10:50 . 2008-03-21 01:05 <DIR> d--h----- C:\WINDOWS\msdownld.tmp 2008-03-19 10:48 . 2008-03-19 10:51 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-03-19 10:41 . 2007-12-07 03:04 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll 2008-03-19 10:41 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat 2008-03-19 10:41 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui 2008-03-19 10:41 . 2007-12-07 03:04 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll 2008-03-19 10:41 . 2007-12-07 03:04 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll 2008-03-19 10:41 . 2007-12-07 03:04 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll 2008-03-19 10:41 . 2007-12-07 03:04 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll 2008-03-19 10:41 . 2007-12-07 03:04 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2008-03-19 10:41 . 2007-12-06 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-03-19 10:03 . 2008-03-22 13:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-03-19 00:23 . 2008-03-19 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss 2008-03-18 21:27 . 2008-03-18 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software 2008-03-18 21:27 . 2008-03-18 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-03-18 21:27 . 2008-03-18 21:27 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-03-18 21:27 . 2008-02-27 13:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-03-18 21:26 . 2008-03-18 21:27 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-03-18 20:28 . 2008-03-18 20:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-03-18 20:25 . 2008-03-18 21:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-03-18 18:08 . 2008-03-18 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\BearShare 2008-03-18 18:07 . 2008-03-18 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Zylom 2008-03-18 18:07 . 2008-03-18 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SopCast 2008-03-18 18:07 . 2008-03-18 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield 2008-03-18 18:07 . 2008-03-18 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AOL 2008-03-18 18:07 . 2008-03-18 18:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-03-18 12:29 . 2008-03-24 17:04 <DIR> d-------- C:\VundoFix Backups 2008-03-16 21:00 . 2008-03-16 21:00 63 --a------ C:\WINDOWS\system32\8e95f843 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-19 20:30 --------- d-----w C:\Programme\audiograbber 2008-03-19 09:33 --------- d-----w C:\Programme\QuickTime 2008-03-18 19:29 --------- d-----w C:\Programme\Lavasoft 2008-03-18 19:29 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Lavasoft 2008-03-18 17:07 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-18 17:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Lexware 2008-02-09 16:06 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nokia 2008-02-09 15:59 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nokia Multimedia Player 2008-02-01 18:11 --------- d-----w C:\Programme\Windows Media Connect 2 2008-02-01 18:08 --------- d-----w C:\Programme\Windows Media Connect . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{260F1072-1C3F-4AF5-A52D-C1C48537B922}] C:\WINDOWS\system32\jkklm.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AudioDeck"="C:\Programme\VIAudioi\SBADeck\ADeck.exe" [2004-09-30 07:44 7957504] "RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 00:07 32768] "nwiz"="nwiz.exe" [2005-04-01 15:16 1495040 C:\WINDOWS\system32\nwiz.exe] "strtfx"="C:\Programme\DeTeWe\OpenDimension\winsuite\strtfx.exe" [2003-10-10 15:05 24576] "sndml"="C:\Programme\DeTeWe\OpenDimension\winsuite\sndml.exe" [2003-10-09 16:00 32768] "RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2005-07-15 14:32 26112] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-18 18:55 249896] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-04-01 15:16 5562368] "PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-06-15 11:36 229376] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-04-01 15:16 86016] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 03:48 36975] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MaxRecentDocs"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxwttr] cbxwttr.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\GMX\\gmx_Update.exe"= R2 AdminSVC;GMX Browser Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe [2007-10-12 13:00] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00] S3 dtwmnic5;DeTeWe OpenCom 30 plus;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys [] S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys [] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-18 21:27] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2008-03-26 07:39:43 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-26 08:40:11 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Windows Media Player\WMPNetwk.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-03-26 8:44:13 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-26 07:44:07 Geändert von Nasenbähr (26.03.2008 um 09:08 Uhr) |
Themen zu Virtumonde/Trojaner "Vundo" [Benötige Hilfe] |
.dll, ad-aware, antivir, auf einmal, browser, dateien, diverse, explorer, firefox, gebraucht, helfen, immer wieder, internet, internet explorer, langsam, neu, neue, popups, problem, programme, scan, seiten, suche, symantec, trojaner, virtumonde, vundo |