Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
TR/Vundo.gj

TR/Vundo.gj


Log-Analyse und Auswertung: TR/Vundo.gj

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 2 von 2 1 2
Alt 06.05.2008, 12:47   #16
Abralas
 
TR/Vundo.gj - Standard

TR/Vundo.gj


http://www.trojaner-board.de/105213-java-update-einstellungen.html]Java SE Downloads[/url] Sind diese Javaversionen nicht aktueller? (Ja, ich weiß, dass das Kits sind, die fürs Programmieren mit Java gedacht sind.)

Ein langsames System oder irgendwelche Popups hatte ich nicht. Das kam wohl davon, dass ich sofort wusste, dass ich einen Virus hatte, mein System sonst auch immer auf einen möglichst aktuellen Stand halte und keinen IE benutze.

So dürfte eigentlich Vundo gar nicht wirklich aktiv gewesen sein oder?

Alt 06.05.2008, 12:55   #17
myrtille
/// TB-Ausbilder
 
TR/Vundo.gj - Standard

TR/Vundo.gj


Mach dir nichts vor. Vundo war aktiv. Er hat sich auf deinem Rechner ausgebreitet:
Zitat:
C:\WINDOWS\system32\iiFwtqqo.dll
C:\WINDOWS\system32\oqqtwFii.ini
C:\WINDOWS\system32\oqqtwFii.ini2
C:\WINDOWS\system32\rqRkhggd.dll
und sich in die Registry eingetragen, sodass er bei jedem Start automatisch mitgeladen wird.
Combofix hat das gröbste bereinigt und die Überbleibsel haben wir grad von Hand entfernt.

@Javaversion
Ja die 6er ist aktueller als die 5er. Da es allerdings derzeit keine großen Löcher in der 5er gibt und diese von Java empfohlen wird, verlinke ich meist auf die Version 6.5.

Bei dir läuft jedoch noch 6.3
Zitat:
C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
Java deinstalliert vorhergehende Versionen nicht, deswegen muss man das vorher händisch über das Hinzufügen/Entfernen-Panel von Microsoft machen.

lg myrtille
__________________

__________________
Alt 06.05.2008, 12:59   #18
Abralas
 
TR/Vundo.gj - Standard

TR/Vundo.gj


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:57:44, on 06.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
G:\Avira\AntiVir PersonalEdition Classic\sched.exe
G:\nHancer\nHancerService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
H:\HijackThis\HJT.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - G:\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - G:\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Download with GetRight - G:\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with GetRight Pro - G:\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - G:\GetRight\GRbrowse.htm
O8 - Extra context menu item: Open with GetRight Pro Browser - G:\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - G:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - G:\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - G:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - G:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1194482887875
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1194570393703
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V020...5031/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{109001A6-42C3-4087-8973-3B042C5C5C90}: NameServer = 213.148.130.10 213.148.129.10
O18 - Protocol: bw+0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - G:\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {8807ADC1-00DA-4360-8B6C-0CA87AB5B84C} - G:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - G:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - G:\nHancer\nHancerService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 18009 bytes


------------------------------------------------------


Klar, war Vundo aktiv, weil ich ihn quasi selbst installiert hatte.

Aber ich meine mit aktiv eher, dass er vom Internet Adware heruntergeladen hatte oder was er sonst so macht?
__________________
Alt 06.05.2008, 13:06   #19
myrtille
/// TB-Ausbilder
 
TR/Vundo.gj - Standard

TR/Vundo.gj


Das Log sieht gut aus!

Vundo ist an sich schon Adware, sollte also Werbefenster aufblenden lassen.
Das geschieht allerdings nicht in allen Fällen, was Vundo außerdem im Hintergrund noch treibt, kann ich dir so auf Anhieb nicht sagen.


lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!

Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!
Alt 06.05.2008, 13:29   #20
Abralas
 
TR/Vundo.gj - Standard

TR/Vundo.gj


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 6. Mai 2008 14:02

Es wird nach 1253212 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: ***
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: OWNAGE

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 03.05.2008 22:36:41
AVSCAN.DLL : 8.1.1.0 57601 Bytes 03.05.2008 22:36:41
LUKE.DLL : 8.1.2.9 151809 Bytes 03.05.2008 22:36:41
LUKERES.DLL : 8.1.2.0 12545 Bytes 03.05.2008 22:36:41
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 22:36:41
ANTIVIR2.VDF : 7.0.4.0 1554432 Bytes 05.05.2008 22:13:28
ANTIVIR3.VDF : 7.0.4.7 22528 Bytes 06.05.2008 12:01:48
Engineversion : 8.1.0.37
AEVDF.DLL : 8.1.0.5 102772 Bytes 03.05.2008 22:36:41
AESCRIPT.DLL : 8.1.0.28 233851 Bytes 03.05.2008 22:36:41
AESCN.DLL : 8.1.0.15 119157 Bytes 03.05.2008 22:36:41
AERDL.DLL : 8.1.0.20 418165 Bytes 03.05.2008 22:36:41
AEPACK.DLL : 8.1.1.4 364918 Bytes 03.05.2008 22:36:41
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 03.05.2008 22:36:41
AEHEUR.DLL : 8.1.0.21 1196407 Bytes 03.05.2008 22:36:41
AEHELP.DLL : 8.1.0.14 115063 Bytes 03.05.2008 22:36:41
AEGEN.DLL : 8.1.0.18 299381 Bytes 03.05.2008 22:36:41
AEEMU.DLL : 8.1.0.5 430450 Bytes 03.05.2008 22:36:41
AECORE.DLL : 8.1.0.27 168310 Bytes 03.05.2008 22:36:41
AVWINLL.DLL : 1.0.0.7 14593 Bytes 03.05.2008 22:36:41
AVPREF.DLL : 8.0.0.1 25857 Bytes 03.05.2008 22:36:41
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 03.05.2008 22:36:41
AVARKT.DLL : 1.0.0.23 307457 Bytes 03.05.2008 22:36:41
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 03.05.2008 22:36:41
SQLITE3.DLL : 3.3.17.1 339968 Bytes 03.05.2008 22:36:41
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 03.05.2008 22:36:41
NETNT.DLL : 8.0.0.1 7937 Bytes 03.05.2008 22:36:41
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 03.05.2008 22:36:40
RCTEXT.DLL : 8.0.32.0 86273 Bytes 03.05.2008 22:36:40

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: G:\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, F:, G:, H:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 6. Mai 2008 14:02

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '48267' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nHancerService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTXFISPI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTXFIHLP.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTHELPER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VolPanlu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLLML.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '19' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Julian\Desktop\ComboFix.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Tool.NirCmd.D
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[WARNUNG] Die Datei wurde ignoriert.
C:\QooBox\Quarantine\catchme2008-05-04_201123,39.zip
[0] Archivtyp: ZIP
--> iiFwtqqo.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\QooBox\Quarantine\C\WINDOWS\system32\iiFwtqqo.dll.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\QooBox\Quarantine\C\WINDOWS\system32\rqRkhggd.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.GJ
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{8E262B15-2F7D-40BA-914D-D1732189FE59}\RP2\A0000005.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.GJ
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{8E262B15-2F7D-40BA-914D-D1732189FE59}\RP2\A0000275.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\' <Games>
Beginne mit der Suche in 'G:\' <Programme>
Beginne mit der Suche in 'H:\' <Downloads>


Ende des Suchlaufs: Dienstag, 6. Mai 2008 14:24
Benötigte Zeit: 22:47 min

Der Suchlauf wurde vollständig durchgeführt.

7369 Verzeichnisse wurden überprüft
394913 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
394905 Dateien ohne Befall
3609 Archive wurden durchsucht
8 Warnungen
0 Hinweise
48267 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden



--------------------------------------------------------


Die Viren befinden sich seit dem Combofix in Quarantäne. Was mich irretiert, dass sich diese auch noch im Wiederherstellungsordner "System Volume Information" befinden. Soll ich die dort löschen?


Alt 06.05.2008, 13:43   #21
myrtille
/// TB-Ausbilder
 
TR/Vundo.gj - Standard

TR/Vundo.gj


Hi,
ja, die Systemwiederherstellung sollte noch deaktiviert werden. (Start->Systemsteuerung->System->Systemwiederherstellung)

Bitte deinstallier auch combofix indem du in Start->Ausführen folgenden Text eingibst: combofix /u

lg myrtille
__________________
--> TR/Vundo.gj

Alt 06.05.2008, 15:03   #22
Abralas
 
TR/Vundo.gj - Standard

TR/Vundo.gj


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 6. Mai 2008 15:38

Es wird nach 1253212 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: OWNAGE

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 03.05.2008 22:36:41
AVSCAN.DLL : 8.1.1.0 57601 Bytes 03.05.2008 22:36:41
LUKE.DLL : 8.1.2.9 151809 Bytes 03.05.2008 22:36:41
LUKERES.DLL : 8.1.2.0 12545 Bytes 03.05.2008 22:36:41
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 22:36:41
ANTIVIR2.VDF : 7.0.4.0 1554432 Bytes 05.05.2008 22:13:28
ANTIVIR3.VDF : 7.0.4.7 22528 Bytes 06.05.2008 12:01:48
Engineversion : 8.1.0.37
AEVDF.DLL : 8.1.0.5 102772 Bytes 03.05.2008 22:36:41
AESCRIPT.DLL : 8.1.0.28 233851 Bytes 03.05.2008 22:36:41
AESCN.DLL : 8.1.0.15 119157 Bytes 03.05.2008 22:36:41
AERDL.DLL : 8.1.0.20 418165 Bytes 03.05.2008 22:36:41
AEPACK.DLL : 8.1.1.4 364918 Bytes 03.05.2008 22:36:41
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 03.05.2008 22:36:41
AEHEUR.DLL : 8.1.0.21 1196407 Bytes 03.05.2008 22:36:41
AEHELP.DLL : 8.1.0.14 115063 Bytes 03.05.2008 22:36:41
AEGEN.DLL : 8.1.0.18 299381 Bytes 03.05.2008 22:36:41
AEEMU.DLL : 8.1.0.5 430450 Bytes 03.05.2008 22:36:41
AECORE.DLL : 8.1.0.27 168310 Bytes 03.05.2008 22:36:41
AVWINLL.DLL : 1.0.0.7 14593 Bytes 03.05.2008 22:36:41
AVPREF.DLL : 8.0.0.1 25857 Bytes 03.05.2008 22:36:41
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 03.05.2008 22:36:41
AVARKT.DLL : 1.0.0.23 307457 Bytes 03.05.2008 22:36:41
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 03.05.2008 22:36:41
SQLITE3.DLL : 3.3.17.1 339968 Bytes 03.05.2008 22:36:41
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 03.05.2008 22:36:41
NETNT.DLL : 8.0.0.1 7937 Bytes 03.05.2008 22:36:41
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 03.05.2008 22:36:40
RCTEXT.DLL : 8.0.32.0 86273 Bytes 03.05.2008 22:36:40

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: g:\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, F:, G:, H:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 6. Mai 2008 15:38

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '48352' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nHancerService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTXFISPI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTXFIHLP.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTHELPER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VolPanlu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLLML.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '19' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\' <Games>
Beginne mit der Suche in 'G:\' <Programme>
Beginne mit der Suche in 'H:\' <Downloads>


Ende des Suchlaufs: Dienstag, 6. Mai 2008 16:00
Benötigte Zeit: 21:51 min

Der Suchlauf wurde vollständig durchgeführt.

7342 Verzeichnisse wurden überprüft
394151 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
394151 Dateien ohne Befall
3616 Archive wurden durchsucht
2 Warnungen
0 Hinweise
48352 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden



---------------------------------------


Sieht doch sauber aus, oder?

Alt 06.05.2008, 15:10   #23
myrtille
/// TB-Ausbilder
 
TR/Vundo.gj - Standard

TR/Vundo.gj


Sieht wunderbar aus!

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!

Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!
Alt 06.05.2008, 17:22   #24
Abralas
 
TR/Vundo.gj - Standard

TR/Vundo.gj


Gut, trotzdem würde ich gerne genau wissen, was TR/Vundo.gj und TR/Vundo.gen genau machen können.

Diese Beschreibung hilft mir nämlich nicht sehr viel weiter:

Name: TR/Vundo.Gen
Art: Trojan
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein
Engine Version: 7.01.01.05

Alt 06.05.2008, 17:33   #25
nochdigger
 
TR/Vundo.gj - Standard

TR/Vundo.gj


Moin

guckst du hier
Trojan.Vundo – Symantec.com
die Eigenschaften müssen/werden nicht auf alle Varianten passen, dafür gibt es zu viele.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 06.05.2008, 17:37   #26
Abralas
 
TR/Vundo.gj - Standard

TR/Vundo.gj


Ok, danke.

Was mir bei der Beschreibung auffällt:

Bekämpfungschance: Einfach
Entfernung: Schwierig


Wenn man den Virus leicht bekämpfen kann, müsste man ihn doch eigentlich auch einfach entfernen können?

Alt 06.05.2008, 17:58   #27
myrtille
/// TB-Ausbilder
 
TR/Vundo.gj - Standard

TR/Vundo.gj


Das hat verschiedene Ursachen:
Zum einen ist es natürlich wie nochdigger schon sagte: Es gibt zuviele verschiedene Varianten,
Keine dieser Varianten ist wirklich "einfach" zu entfernen, allerdings gibt es eine Menge Varianten die von Tools wie etwa Vundofix entfernt werden. Da ist die Bereinigung insofern "einfach", als das mit einem Tool alle Probleme gelöst sind.

Die neueren Varianten werden allerdings schlechter abgedeckt und sind auch nicht mehr so einfach zu erkennen.

Das als Erklärungsversuch, warum welches Antivirenprogramm welchen Trojaner wie einstuft. Wissen tu ich das nicht. Einfach mal beim verantwortlichen nachhaken.
Bei Avira findet man zb eine Erklärung wie die Verbreitung eingeschätzt wird: link

Beim ersten Überfliegen scheinen die Einschätzung allerdings nicht infizierte Webseiten zu berücksichtigen. Das ist aber einer der Hauptinfektionswege von Vundo.
Auch das könnte ein Grund sein, warum bei Verbreitung gering sein.

Aber bei Symantec stoß ich auch an meine Grenzen. Da find ich keine Infos zu.

Ich mag zb Sophos auch ganz gern, die haben normalerweise gute Infos.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!

Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!
Geändert von myrtille (06.05.2008 um 18:05 Uhr)

Alt 06.05.2008, 20:33   #28
Abralas
 
TR/Vundo.gj - Standard

TR/Vundo.gj


Danke.

Also kann ich jetzt mit meinem System beruhigt weiterarbeiten.

Passwörter ausschnüffeln oder Keyloggeraktivitäten führt ja Vundo nicht aus.

Falls jemand von Euch Experten Lust darauf hat genauer die Vundos zu überprüfen, die kurzzeitig auf meiner Platte waren, kann ich ihm übrigens den Link zur schädlichen Datei per PN geben.

Antwort
Seite 2 von 2 1 2

Themen zu TR/Vundo.gj
antivir, avira, browser, dateien, desktop, download, einstellungen, ellung, explorer, hijackthis, icq, infizierte, internet, internet explorer, microsoft, neustart, object, opera, programme, rundll, scan, shockwave, software, system, trojaner, tuneup.defrag, windows, windows xp


« TR/Vundo.Gen Trojaner - nicht mit Vundofix entfernbar... | TR/Dldr.WMA.Wimad.N »


Ähnliche Themen: TR/Vundo.gj


  1. Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (28)
  2. TR/Vundo.Gen ... o.O
    Log-Analyse und Auswertung - 20.03.2009 (1)
  3. TR/Vundo.Gen; TR/Vundo.fnr.6 entfernen ?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2009 (9)
  4. Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18
    Log-Analyse und Auswertung - 22.12.2008 (13)
  5. TR/Vundo.fnr.6; TR/Vundo.Gen; TR/Crypt/Morphine.Gen....
    Mülltonne - 27.10.2008 (0)
  6. tr/vundo.gen
    Log-Analyse und Auswertung - 03.07.2008 (9)
  7. TR\Vundo.Gen
    Mülltonne - 26.06.2008 (0)
  8. Vundo
    Mülltonne - 25.06.2008 (1)
  9. TR/Vundo.Gen
    Mülltonne - 25.06.2008 (0)
  10. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  11. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  12. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)
  13. TR/Vundo.gen
    Log-Analyse und Auswertung - 05.05.2008 (14)
  14. TR/Vundo.gen TR/vundo.AC Bitte um Hilfe
    Log-Analyse und Auswertung - 22.03.2008 (10)
  15. TR/Vundo.Gen und TR/Vundo.dvc1 bekämpfen
    Log-Analyse und Auswertung - 09.01.2008 (18)
  16. TR/Vundo.gen
    Plagegeister aller Art und deren Bekämpfung - 23.12.2007 (2)
  17. Wie kann ich TR/Vundo.AH und TR/Vundo.Gen entfernen?
    Log-Analyse und Auswertung - 24.03.2007 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Vundo.gj - http://www.trojaner-board.de/105213-java-update-einstellungen.html ]Java SE Downloads[/url] Sind diese Javaversionen nicht aktueller? (Ja, ich weiß, dass das Kits sind, die fürs Programmieren mit Java gedacht sind.) Ein langsames System oder irgendwelche Popups hatte - TR/Vundo.gj...
Archiv
Du betrachtest: TR/Vundo.gj auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55