Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
TR/Vundo.Gen Trojaner - Bitte um Hilfe

TR/Vundo.Gen Trojaner - Bitte um Hilfe


Log-Analyse und Auswertung: TR/Vundo.Gen Trojaner - Bitte um Hilfe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 06.05.2008, 20:41   #1
edgar
 
TR/Vundo.Gen Trojaner - Bitte um Hilfe - Standard

TR/Vundo.Gen Trojaner - Bitte um Hilfe


Hallo !

Erstmal vielen Dank für die vielen Tipps von Euch die ich mir hier in den letzten Tagen schon erlesen habe und die mir bei meinen Computervirenproblemen schon sehr geholfen haben

Nun hatte es mich leider auch erwischt. Nach jahrelangen virenfreien surfen hatte ich mir ein ganzes Paket an Trojanern und Viren eingefangen.
Von F-Secure war ich garnicht begeistert es hatte fast mein ganzes Computersystem lahmgelegt.

Ich habe jetzt soweit alles ganz gut hinbekommen mit AdAware bis auf den TR/Vundo.Gen Trojaner und eine Drachenabbildung mit Spachausgabe (englische Frauenstimme) die beim Computerstart kurz erscheint.

Der Trojaner bewirkt das ich nicht googlen kann oder die Internetseiten von amazon oder yahoo aufrufen kann.

Mit VundoFix läßt sich der Trojaner auch nicht beseitigen. AntiVir warnt mich immer wieder vor dll Dateien.

Bitte seit mal so nett und schaut mal mein Logfile an.

Logfile of HijackThis v1.99.1
Scan saved at 21:31:44, on 06.05.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\fotokasten comfort\dd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Audible\Bin\AudibleDownloadHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\dumprep.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.getbackpage.com/?cm=640368&lt=1&it=2008-04-29%2023%3A48%3A00&dt=2001-12-31%2023%3A06%3A16&q=about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gmx.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von GMX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Amazon Toolbar - {0EE3F0B3-6A98-44E2-BEC4-981E4DE63D62} - C:\Programme\AD ON Media\Amazon Toolbar\amazon.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [zzzCamInSuiteIII] D:\SETUP.EXE 2***
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Device Detection] C:\Programme\fotokasten comfort\dd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BMe39cee71] Rundll32.exe "C:\WINDOWS\System32\ayfttnng.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Audible Download Manager.lnk = C:\Programme\Audible\Bin\AudibleDownloadHelper.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Amazon Toolbar - {0EE3F0B3-6A98-44E2-BEC4-981E4DE63D62} - C:\Programme\AD ON Media\Amazon Toolbar\amazon.dll
O9 - Extra 'Tools' menuitem: Amazon Toolbar - {0EE3F0B3-6A98-44E2-BEC4-981E4DE63D62} - C:\Programme\AD ON Media\Amazon Toolbar\amazon.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure internet security\fsps\program\fslsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.gmx.de
O16 - DPF: {477E2667-7E7A-4737-BFF5-121D68EF7816} (AOL Download Assistent) - http://musikdownloads.aol.de/imcdms-static/code/AOL%20Download%20Assistent.ocx
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - Unknown owner - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe (file missing)
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - Unknown owner - C:\Programme\F-Secure Internet Security\FSAUA\program\fsaua.exe (file missing)
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe


Hoffentlich bekomme ich bald Ruhe vor dem Trojaner.

Vielen Dank für Eure Mühe und Hilfe !

Viele Grüße
edgar

Alt 06.05.2008, 21:48   #2
BataAlexander
> MalwareDB
 
TR/Vundo.Gen Trojaner - Bitte um Hilfe - Standard

TR/Vundo.Gen Trojaner - Bitte um Hilfe


Hier fehlen wichtige Updates! Die müssen wir nach der Bereinigung aufspielen!

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
__________________

__________________
Alt 07.05.2008, 13:30   #3
edgar
 
TR/Vundo.Gen Trojaner - Bitte um Hilfe - Standard

TR/Vundo.Gen Trojaner - Bitte um Hilfe


Hallo BataAlexander !

Vielen Dank für deine Mühe !!!

ComboFix 08-05-01.3 - Ulrich 2008-05-07 11:52:21.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.239 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ulrich\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\darlohbo.dll
C:\WINDOWS\system32\fqvsbbcj.ini
C:\WINDOWS\system32\frrhjfev.dll
C:\WINDOWS\system32\gihcqnyp.ini
C:\WINDOWS\system32\hcvivtup.dll
C:\WINDOWS\system32\hgGyvtTm.dll
C:\WINDOWS\system32\jcbbsvqf.dll
C:\WINDOWS\system32\mfvcxbur.dll
C:\WINDOWS\system32\pynqchig.dll
C:\WINDOWS\system32\vxFNonmp.ini
C:\WINDOWS\system32\vxFNonmp.ini2
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\APPATC~1
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\ASEMBL~1
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\CROSOF~1.NET
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\DOBE~1
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\DOBE~2
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\FNTS~1
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\ICROSO~1
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\MBOLS~1
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\MCROSO~1
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\MCROSO~1.NET
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\PPATCH~1
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\SCURIT~1
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\SEMBLY~1
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\SKS~1
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\SKS~2
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\WNSXS~1
C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\YSTEM3~1
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\CURITY~1
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\DOBE~1
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\ECURIT~1
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\FNTS~1
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\FNTS~2
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\ICROSO~1
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\ICROSO~2
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\MANTEC~1
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\RACLE~1
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\STEM32~1
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\TSKS~1
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\WNSXS~1
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\YMANTE~1
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\YMBOLS~1
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\YSTEM~1
C:\Dokumente und Einstellungen\Ulrich\Startmenü\Programme\Outerinfo
C:\Dokumente und Einstellungen\Ulrich\Startmenü\Programme\Outerinfo\Terms.lnk
C:\Dokumente und Einstellungen\Ulrich\Startmenü\Programme\Outerinfo\Uninstall.lnk
C:\Programme\asembl~1
C:\Programme\dobe~1
C:\Programme\fnts~1
C:\Programme\icroso~1.net
C:\Programme\mantec~1
C:\Programme\mcroso~1.net
C:\Programme\sks~1
C:\Programme\sstem3~1
C:\Programme\stem~1
C:\Programme\stem32~1
C:\Programme\tsks~1
C:\Programme\ystem~1
C:\WINDOWS\asks~1
C:\WINDOWS\crosof~1.net
C:\WINDOWS\curity~1
C:\WINDOWS\dobe~1
C:\WINDOWS\icroso~1
C:\WINDOWS\icroso~1.net
C:\WINDOWS\pskt.ini
C:\WINDOWS\racle~1
C:\WINDOWS\racle~2
C:\WINDOWS\scurit~1
C:\WINDOWS\sembly~1
C:\WINDOWS\sks~1
C:\WINDOWS\sstem3~1
C:\WINDOWS\system32\appatc~1
C:\WINDOWS\system32\ayfttnng.dll
C:\WINDOWS\system32\blqujqhs.ini
C:\WINDOWS\system32\crosof~1.net
C:\WINDOWS\system32\curity~1
C:\WINDOWS\system32\dobe~1
C:\WINDOWS\system32\ecurit~1
C:\WINDOWS\system32\erxhecbr.dll
C:\WINDOWS\system32\hlggwjwp.ini
C:\WINDOWS\system32\icroso~1.net
C:\WINDOWS\system32\mantec~1
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\ppatch~1
C:\WINDOWS\system32\ppatch~2
C:\WINDOWS\system32\racle~1
C:\WINDOWS\system32\rbcehxre.ini
C:\WINDOWS\system32\rmgmkygd.ini
C:\WINDOWS\system32\smante~1
C:\WINDOWS\system32\sstem~1
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\uuupkuhe.ini
C:\WINDOWS\system32\vrhthuqy.ini
C:\WINDOWS\system32\vxFNonmp.ini
C:\WINDOWS\system32\vxFNonmp.ini2
C:\WINDOWS\system32\wnstssv.exe
C:\WINDOWS\system32\ystem~1
C:\WINDOWS\wnsxs~1
C:\WINDOWS\ymante~1
C:\WINDOWS\ystem~1

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-07 bis 2008-05-07 ))))))))))))))))))))))))))))))
.

2008-05-07 11:46 . 2008-05-07 11:46 2,112 --a------ C:\WINDOWS\system32\fpunhjgf.exe
2008-05-07 11:09 . 2008-05-07 11:09 2,112 --a------ C:\WINDOWS\system32\hwxhqrfl.exe
2008-05-06 20:38 . 2008-05-06 20:38 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-05-06 20:28 . 2008-05-06 20:37 <DIR> d-------- C:\VundoFix Backups
2008-05-06 18:32 . 2008-05-06 18:36 <DIR> d-------- C:\Programme\backups
2008-05-06 17:35 . 2005-02-16 11:06 218,112 --a------ C:\Programme\HijackThis.exe
2008-05-06 17:21 . 2008-05-06 17:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-06 17:16 . 2008-05-06 17:21 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-06 15:41 . 2008-05-06 15:41 <DIR> d-------- C:\Programme\Lavasoft
2008-05-06 15:41 . 2008-05-06 15:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-02 18:18 . 2008-05-02 18:18 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-05-02 17:26 . 2008-05-02 17:26 <DIR> d-------- C:\Programme\Avira
2008-05-02 17:26 . 2008-05-02 17:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-02 09:45 . 2007-01-15 13:45 1,909 --a------ C:\WINDOWS\_detmp.1
2008-04-30 23:12 . 2008-04-30 23:12 <DIR> d-------- C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\F-Secure
2008-04-30 23:03 . 2007-05-28 11:16 58,128 --a------ C:\WINDOWS\system32\drivers\fsdfw.sys
2008-04-30 23:03 . 2007-05-28 11:16 37,008 --a------ C:\WINDOWS\system32\drivers\fsndis5.sys
2008-04-30 23:02 . 2008-04-30 23:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\F-Secure
2008-04-30 23:01 . 2008-05-02 17:36 <DIR> d-------- C:\Programme\F-Secure Internet Security
2008-04-30 23:00 . 2008-04-30 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fssg
2008-04-29 23:43 . 2008-05-02 21:26 <DIR> d-------- C:\WINDOWS\system32\717305
15 Datei(en) . 5,129,128 C:\ComboFix\Bytes
3 Datei(en) . 270,533,061 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-07 21:47 --------- d-----w C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\phonostar-Player
2008-05-06 19:31 9,006 ----a-w C:\Programme\hijackthis.log
2008-05-06 16:27 --------- d-----w C:\Programme\AD ON Media
2008-05-06 13:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-06 13:38 9 ----a-w C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\mdb.bin
2008-04-30 22:38 --------- d-----w C:\Programme\Opera
2008-04-30 12:29 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-30 12:28 --------- d-----w C:\Programme\Wolfenstein - Enemy Territory
2008-03-13 23:38 --------- d-----w C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\DivX
2005-08-31 15:30 270,305,943 ----a-w C:\Programme\wolfet.exe
2005-03-10 01:05 53,323 ----a-w C:\Programme\opera\program\plugins\PlugDef.dll
.

------- Sigcheck -------

2001-08-18 14:00 12800 adbb33d5893bcf08e75ea54bb5669205 C:\WINDOWS\system32\svchost.exe
2001-08-18 14:00 12800 adbb33d5893bcf08e75ea54bb5669205 C:\WINDOWS\system32\dllcache\svchost.exe

2002-08-29 04:43 561664 e3daffdb1c86c1aeac1b205f6cf67009 C:\WINDOWS\ServicePackFiles\i386\user32.dll
2002-08-29 04:43 561664 e3daffdb1c86c1aeac1b205f6cf67009 C:\WINDOWS\system32\user32.dll

2001-08-18 14:00 75264 ae894c124feb008ad1876ef655967685 C:\WINDOWS\system32\ws2_32.dll
2001-08-18 14:00 75264 ae894c124feb008ad1876ef655967685 C:\WINDOWS\system32\dllcache\ws2_32.dll

2002-08-29 04:43 604672 e332e1bbf073bdd18742b9a0db6f208a C:\WINDOWS\ServicePackFiles\i386\wininet.dll
2002-08-29 04:43 604672 e332e1bbf073bdd18742b9a0db6f208a C:\WINDOWS\system32\wininet.dll

2002-08-29 02:58 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
2002-08-29 02:58 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\system32\drivers\tcpip.sys

2002-08-29 04:43 521728 616896b708286da98d6a099293f181d7 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2002-08-29 04:43 521728 616896b708286da98d6a099293f181d7 C:\WINDOWS\system32\winlogon.exe

2002-08-29 03:09 167552 3b350e5a2a5e951453f3993275a4523a C:\WINDOWS\ServicePackFiles\i386\ndis.sys
2002-08-29 03:09 167552 3b350e5a2a5e951453f3993275a4523a C:\WINDOWS\system32\drivers\ndis.sys

2002-08-29 04:41 1950080 ad669b66162c858a22a2454a138ecb88 C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2002-08-29 04:41 1950080 ad669b66162c858a22a2454a138ecb88 C:\WINDOWS\system32\ntkrnlpa.exe

2002-08-29 04:41 2044416 d27f8835923cf08c9cc2e277313c44e0 C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe
2002-08-29 04:41 2044416 d27f8835923cf08c9cc2e277313c44e0 C:\WINDOWS\system32\ntoskrnl.exe

2002-08-29 04:43 1007104 22b0a56e6c5847292437078b484ec61b C:\WINDOWS\explorer.exe
2002-08-29 04:43 1007104 22b0a56e6c5847292437078b484ec61b C:\WINDOWS\ServicePackFiles\i386\explorer.exe

2002-08-29 04:43 13312 e5ee2f4700b6a85f0d45a18c67da500f C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2002-08-29 04:43 13312 e5ee2f4700b6a85f0d45a18c67da500f C:\WINDOWS\system32\ctfmon.exe
.
((((((((((((((((((((((((((((( snapshot@2008-05-07_11.24.02.29 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-07 22:05:58 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-07 09:55:58 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2001-12-31 22:05:45 66,224 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-05-07 08:59:41 66,224 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2001-12-31 22:05:45 55,408 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-05-07 08:59:41 55,408 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2001-12-31 22:05:45 396,708 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-05-07 08:59:41 396,708 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2001-12-31 22:05:45 386,058 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-05-07 08:59:42 386,058 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0E9A70B8-9D73-B68D-2C24-BCCE6FE8B7CB}]
C:\WINDOWS\System32\gleokjbg.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0FAECAD0-51A3-41C2-9D5C-96EAB1274EBF}]
2002-01-01 00:11 280576 --------- C:\WINDOWS\System32\pmnoNFxv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{19B9CD57-3043-442F-8DFF-F9924AF056BD}]
2002-01-01 00:06 43008 --------- C:\WINDOWS\system32\nnnkKCuu.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{454C1DA8-F31D-89E9-1A1A-8F8DBE5087BD}]
C:\WINDOWS\System32\hvnbq.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5C2B9137-28A5-0904-A99C-07D58F25B29C}]
C:\WINDOWS\System32\yxulnaaa.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84DAC188-7148-0ABD-1474-5CF07CCC3DC6}]
C:\WINDOWS\System32\hreo.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB62B786-0A12-2BBE-11A7-74F2CD574D9E}]
C:\WINDOWS\System32\osc.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D03FC91C-26D1-007D-DB3B-5D909BD46CCB}]
C:\WINDOWS\System32\bnsswmxk.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DDA8FAD0-4649-64BA-1F47-3AC65E4F31CA}]
C:\WINDOWS\System32\augx.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{0EE3F0B3-6A98-44E2-BEC4-981E4DE63D62}"= "C:\Programme\AD ON Media\Amazon Toolbar\amazon.dll" [2007-08-20 13:36 2093056]

[HKEY_CLASSES_ROOT\clsid\{0ee3f0b3-6a98-44e2-bec4-981e4de63d62}]
[HKEY_CLASSES_ROOT\TBSB03603.TBSB03603.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03603.TBSB03603]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0EE3F0B3-6A98-44E2-BEC4-981E4DE63D62}"= C:\Programme\AD ON Media\Amazon Toolbar\amazon.dll [2007-08-20 13:36 2093056]

[HKEY_CLASSES_ROOT\clsid\{0ee3f0b3-6a98-44e2-bec4-981e4de63d62}]
[HKEY_CLASSES_ROOT\TBSB03603.TBSB03603.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03603.TBSB03603]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 04:43 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2002-08-29 04:43 1511453]
"PhonostarAgent"="C:\Programme\phonostar\ps_agent.exe" [2007-06-18 16:49 98304]
"PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2007-06-18 16:59 126976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nForce Tray Options"="sstray.exe" [2002-10-26 17:02 77824 C:\WINDOWS\system32\sstray.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-12-18 22:00 294912]
"D-Link Air USB Utility"="C:\Programme\D-Link\Air USB Utility\AirCFG.exe" [2004-05-25 18:09 1015808]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-04-14 11:54 45056]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 03:52 36975]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-09-25 00:54 180269]
"zzzCamInSuiteIII"="D:\SETUP.exe" [ ]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe" [2003-03-11 12:08 172032]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2002-12-17 12:40 49152]
"DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 21:56 40960]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-06-28 09:14 270648]
"Device Detection"="C:\Programme\fotokasten comfort\dd.exe" [2006-09-11 09:35 73216]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-02 18:11 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 04:43 13312]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{19B9CD57-3043-442F-8DFF-F9924AF056BD}"= C:\WINDOWS\system32\nnnkKCuu.dll [2002-01-01 00:06 43008]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnkKCuu]
nnnkKCuu.dll 2002-01-01 00:06 43008 C:\WINDOWS\system32\nnnkKCuu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntivirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-05-02 18:12]
R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\System32\drivers\fsdfw.sys [2007-05-28 11:16]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-05-02 18:12]
R3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;C:\WINDOWS\System32\DRIVERS\PRISMUSB.sys [2003-10-02 14:47]
S1 F-Secure HIPS;F-Secure HIPS;C:\Programme\F-Secure Internet Security\HIPS\fshs.sys []
S2 F-Secure Filter;F-Secure File System Filter;C:\Programme\F-Secure Internet Security\Anti-Virus\Win2K\FSfilter.sys []
S2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Programme\F-Secure Internet Security\Anti-Virus\win2k\fsgk.sys []
S2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Programme\F-Secure Internet Security\Anti-Virus\Win2K\FSrec.sys []
S4 hpt3xx;hpt3xx;C:\WINDOWS\System32\DRIVERS\hpt3xx.sys [2001-08-17 13:52]

.
Inhalt des "geplante Tasks" Ordners
"2008-05-02 19:58:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-05-07 10:00:00 C:\WINDOWS\Tasks\Scheduled scanning task.job"
- C:\PROGRA~1\F-SECU~1\ANTI-V~1\fsav.exeQ /HARD /POLICY /SCHED /NOBREAK /REPORT=C:\PROGRA~1\F-SECU~1\ANTI-V~1\report.txt
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-07 11:56:39
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\nnnkKCuu.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Audible\Bin\AudibleDownloadHelper.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\guardgui.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-07 12:20:12 - machine was rebooted [Ulrich]
ComboFix-quarantined-files.txt 2008-05-07 10:19:43

12 Verzeichnis(se), 35,636,436,992 Bytes frei
14 Verzeichnis(se), 35,629,924,352 Bytes frei

307
__________________
Alt 07.05.2008, 13:32   #4
edgar
 
TR/Vundo.Gen Trojaner - Bitte um Hilfe - Standard

TR/Vundo.Gen Trojaner - Bitte um Hilfe


Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Alt 07.05.2008, 15:42   #5
BataAlexander
> MalwareDB
 
TR/Vundo.Gen Trojaner - Bitte um Hilfe - Standard

TR/Vundo.Gen Trojaner - Bitte um Hilfe


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
File::
C:\WINDOWS\system32\fpunhjgf.exe
C:\WINDOWS\system32\hwxhqrfl.exe
C:\WINDOWS\system32\717305
C:\WINDOWS\System32\augx.dll
C:\WINDOWS\system32\nnnkKCuu.dll
C:\WINDOWS\System32\bnsswmxk.dll
C:\WINDOWS\System32\osc.dll
C:\WINDOWS\System32\hreo.dll
C:\WINDOWS\System32\yxulnaaa.dll
C:\WINDOWS\System32\hvnbq.dll
C:\WINDOWS\System32\pmnoNFxv.dll
C:\WINDOWS\System32\gleokjbg.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0E9A70B8-9D73-B68D-2C24-BCCE6FE8B7CB}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0FAECAD0-51A3-41C2-9D5C-96EAB1274EBF}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{19B9CD57-3043-442F-8DFF-F9924AF056BD}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{454C1DA8-F31D-89E9-1A1A-8F8DBE5087BD}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5C2B9137-28A5-0904-A99C-07D58F25B29C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84DAC188-7148-0ABD-1474-5CF07CCC3DC6}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB62B786-0A12-2BBE-11A7-74F2CD574D9E}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D03FC91C-26D1-007D-DB3B-5D909BD46CCB}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DDA8FAD0-4649-64BA-1F47-3AC65E4F31CA}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{19B9CD57-3043-442F-8DFF-F9924AF056BD}"=- 
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnkKCuu]
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 07.05.2008, 18:08   #6
edgar
 
TR/Vundo.Gen Trojaner - Bitte um Hilfe - Standard

TR/Vundo.Gen Trojaner - Bitte um Hilfe


Hallo BataAlexander ! Hier kommt die Log Datei:

ComboFix 08-05-01.3 - Ulrich 2008-05-07 18:29:37.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.174 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ulrich\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Ulrich\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\717305
C:\WINDOWS\System32\augx.dll
C:\WINDOWS\System32\bnsswmxk.dll
C:\WINDOWS\system32\fpunhjgf.exe
C:\WINDOWS\System32\gleokjbg.dll
C:\WINDOWS\System32\hreo.dll
C:\WINDOWS\System32\hvnbq.dll
C:\WINDOWS\system32\hwxhqrfl.exe
C:\WINDOWS\system32\nnnkKCuu.dll
C:\WINDOWS\System32\osc.dll
C:\WINDOWS\System32\pmnoNFxv.dll
C:\WINDOWS\System32\yxulnaaa.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bykecrga.dll
C:\WINDOWS\system32\dupdspun.dll
C:\WINDOWS\system32\fpunhjgf.exe
C:\WINDOWS\system32\gmgheeel.dll
C:\WINDOWS\system32\hwxhqrfl.exe
C:\WINDOWS\system32\nhfxikho.dll
C:\WINDOWS\system32\nnnkKCuu.dll
C:\WINDOWS\system32\nupsdpud.ini
C:\WINDOWS\System32\pmnoNFxv.dll
C:\WINDOWS\system32\qbevstcs.dll
C:\WINDOWS\system32\sctsvebq.ini
C:\WINDOWS\system32\tuvsTjJc.dll
C:\WINDOWS\system32\vxFNonmp.ini
C:\WINDOWS\system32\vxFNonmp.ini2
C:\WINDOWS\system32\wvwpwvxw.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-07 bis 2008-05-07 ))))))))))))))))))))))))))))))
.

2008-05-07 18:19 . 2008-05-07 18:19 2,112 --a------ C:\WINDOWS\system32\spioddri.exe
2008-05-07 17:13 . 2008-05-07 17:13 2,112 --a------ C:\WINDOWS\system32\gojsefru.exe
2008-05-06 20:38 . 2008-05-06 20:38 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-05-06 20:28 . 2008-05-06 20:37 <DIR> d-------- C:\VundoFix Backups
2008-05-06 18:32 . 2008-05-06 18:36 <DIR> d-------- C:\Programme\backups
2008-05-06 17:35 . 2005-02-16 11:06 218,112 --a------ C:\Programme\HijackThis.exe
2008-05-06 17:21 . 2008-05-06 17:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-06 17:16 . 2008-05-06 17:21 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-06 15:41 . 2008-05-06 15:41 <DIR> d-------- C:\Programme\Lavasoft
2008-05-06 15:41 . 2008-05-06 15:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-02 18:18 . 2008-05-02 18:18 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-05-02 17:26 . 2008-05-02 17:26 <DIR> d-------- C:\Programme\Avira
2008-05-02 17:26 . 2008-05-02 17:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-02 09:45 . 2007-01-15 13:45 1,909 --a------ C:\WINDOWS\_detmp.1
2008-04-30 23:12 . 2008-04-30 23:12 <DIR> d-------- C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\F-Secure
2008-04-30 23:03 . 2007-05-28 11:16 58,128 --a------ C:\WINDOWS\system32\drivers\fsdfw.sys
2008-04-30 23:03 . 2007-05-28 11:16 37,008 --a------ C:\WINDOWS\system32\drivers\fsndis5.sys
2008-04-30 23:02 . 2008-04-30 23:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\F-Secure
2008-04-30 23:01 . 2008-05-02 17:36 <DIR> d-------- C:\Programme\F-Secure Internet Security
2008-04-30 23:00 . 2008-04-30 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fssg
2008-04-29 23:43 . 2008-05-02 21:26 <DIR> d-------- C:\WINDOWS\system32\717305
15 Datei(en) . 5,148,584 C:\ComboFix\Bytes
3 Datei(en) . 270,534,101 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-07 21:47 --------- d-----w C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\phonostar-Player
2008-05-07 12:19 10,046 ----a-w C:\Programme\hijackthis.log
2008-05-06 16:27 --------- d-----w C:\Programme\AD ON Media
2008-05-06 13:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-06 13:38 9 ----a-w C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\mdb.bin
2008-04-30 22:38 --------- d-----w C:\Programme\Opera
2008-04-30 12:29 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-30 12:28 --------- d-----w C:\Programme\Wolfenstein - Enemy Territory
2008-03-13 23:38 --------- d-----w C:\Dokumente und Einstellungen\Ulrich\Anwendungsdaten\DivX
2005-08-31 15:30 270,305,943 ----a-w C:\Programme\wolfet.exe
2005-03-10 01:05 53,323 ----a-w C:\Programme\opera\program\plugins\PlugDef.dll
.

------- Sigcheck -------

2001-08-18 14:00 12800 adbb33d5893bcf08e75ea54bb5669205 C:\WINDOWS\system32\svchost.exe
2001-08-18 14:00 12800 adbb33d5893bcf08e75ea54bb5669205 C:\WINDOWS\system32\dllcache\svchost.exe

2002-08-29 04:43 561664 e3daffdb1c86c1aeac1b205f6cf67009 C:\WINDOWS\ServicePackFiles\i386\user32.dll
2002-08-29 04:43 561664 e3daffdb1c86c1aeac1b205f6cf67009 C:\WINDOWS\system32\user32.dll

2001-08-18 14:00 75264 ae894c124feb008ad1876ef655967685 C:\WINDOWS\system32\ws2_32.dll
2001-08-18 14:00 75264 ae894c124feb008ad1876ef655967685 C:\WINDOWS\system32\dllcache\ws2_32.dll

2002-08-29 04:43 604672 e332e1bbf073bdd18742b9a0db6f208a C:\WINDOWS\ServicePackFiles\i386\wininet.dll
2002-08-29 04:43 604672 e332e1bbf073bdd18742b9a0db6f208a C:\WINDOWS\system32\wininet.dll

2002-08-29 02:58 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
2002-08-29 02:58 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\system32\drivers\tcpip.sys

2002-08-29 04:43 521728 616896b708286da98d6a099293f181d7 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2002-08-29 04:43 521728 616896b708286da98d6a099293f181d7 C:\WINDOWS\system32\winlogon.exe

2002-08-29 03:09 167552 3b350e5a2a5e951453f3993275a4523a C:\WINDOWS\ServicePackFiles\i386\ndis.sys
2002-08-29 03:09 167552 3b350e5a2a5e951453f3993275a4523a C:\WINDOWS\system32\drivers\ndis.sys

2002-08-29 04:41 1950080 ad669b66162c858a22a2454a138ecb88 C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2002-08-29 04:41 1950080 ad669b66162c858a22a2454a138ecb88 C:\WINDOWS\system32\ntkrnlpa.exe

2002-08-29 04:41 2044416 d27f8835923cf08c9cc2e277313c44e0 C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe
2002-08-29 04:41 2044416 d27f8835923cf08c9cc2e277313c44e0 C:\WINDOWS\system32\ntoskrnl.exe

2002-08-29 04:43 1007104 22b0a56e6c5847292437078b484ec61b C:\WINDOWS\explorer.exe
2002-08-29 04:43 1007104 22b0a56e6c5847292437078b484ec61b C:\WINDOWS\ServicePackFiles\i386\explorer.exe

2002-08-29 04:43 13312 e5ee2f4700b6a85f0d45a18c67da500f C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2002-08-29 04:43 13312 e5ee2f4700b6a85f0d45a18c67da500f C:\WINDOWS\system32\ctfmon.exe
.
((((((((((((((((((((((((((((( snapshot@2008-05-07_11.24.02.29 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-07 22:05:58 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-07 16:33:09 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2001-12-31 22:05:45 66,224 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-05-07 08:59:41 66,224 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2001-12-31 22:05:45 55,408 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-05-07 08:59:41 55,408 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2001-12-31 22:05:45 396,708 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-05-07 08:59:41 396,708 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2001-12-31 22:05:45 386,058 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-05-07 08:59:42 386,058 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{0EE3F0B3-6A98-44E2-BEC4-981E4DE63D62}"= "C:\Programme\AD ON Media\Amazon Toolbar\amazon.dll" [2007-08-20 13:36 2093056]

[HKEY_CLASSES_ROOT\clsid\{0ee3f0b3-6a98-44e2-bec4-981e4de63d62}]
[HKEY_CLASSES_ROOT\TBSB03603.TBSB03603.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03603.TBSB03603]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0EE3F0B3-6A98-44E2-BEC4-981E4DE63D62}"= C:\Programme\AD ON Media\Amazon Toolbar\amazon.dll [2007-08-20 13:36 2093056]

[HKEY_CLASSES_ROOT\clsid\{0ee3f0b3-6a98-44e2-bec4-981e4de63d62}]
[HKEY_CLASSES_ROOT\TBSB03603.TBSB03603.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03603.TBSB03603]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 04:43 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2002-08-29 04:43 1511453]
"PhonostarAgent"="C:\Programme\phonostar\ps_agent.exe" [2007-06-18 16:49 98304]
"PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2007-06-18 16:59 126976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nForce Tray Options"="sstray.exe" [2002-10-26 17:02 77824 C:\WINDOWS\system32\sstray.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-12-18 22:00 294912]
"D-Link Air USB Utility"="C:\Programme\D-Link\Air USB Utility\AirCFG.exe" [2004-05-25 18:09 1015808]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-04-14 11:54 45056]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 03:52 36975]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-09-25 00:54 180269]
"zzzCamInSuiteIII"="D:\SETUP.exe" [ ]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe" [2003-03-11 12:08 172032]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2002-12-17 12:40 49152]
"DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 21:56 40960]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-06-28 09:14 270648]
"Device Detection"="C:\Programme\fotokasten comfort\dd.exe" [2006-09-11 09:35 73216]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-02 18:11 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 04:43 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntivirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-05-02 18:12]
R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\System32\drivers\fsdfw.sys [2007-05-28 11:16]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-05-02 18:12]
R3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;C:\WINDOWS\System32\DRIVERS\PRISMUSB.sys [2003-10-02 14:47]
S1 F-Secure HIPS;F-Secure HIPS;C:\Programme\F-Secure Internet Security\HIPS\fshs.sys []
S2 F-Secure Filter;F-Secure File System Filter;C:\Programme\F-Secure Internet Security\Anti-Virus\Win2K\FSfilter.sys []
S2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Programme\F-Secure Internet Security\Anti-Virus\win2k\fsgk.sys []
S2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Programme\F-Secure Internet Security\Anti-Virus\Win2K\FSrec.sys []
S4 hpt3xx;hpt3xx;C:\WINDOWS\System32\DRIVERS\hpt3xx.sys [2001-08-17 13:52]

.
Inhalt des "geplante Tasks" Ordners
"2008-05-02 19:58:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-05-07 10:00:00 C:\WINDOWS\Tasks\Scheduled scanning task.job"
- C:\PROGRA~1\F-SECU~1\ANTI-V~1\fsav.exeQ /HARD /POLICY /SCHED /NOBREAK /REPORT=C:\PROGRA~1\F-SECU~1\ANTI-V~1\report.txt
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-07 18:33:36
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\Audible\Bin\AudibleDownloadHelper.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-07 18:58:06 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-07 16:58:03
ComboFix2.txt 2008-05-07 10:20:38

12 Verzeichnis(se), 35,564,683,264 Bytes frei
13 Verzeichnis(se), 35,550,859,264 Bytes frei

207

Alt 07.05.2008, 18:17   #7
BataAlexander
> MalwareDB
 
TR/Vundo.Gen Trojaner - Bitte um Hilfe - Standard

TR/Vundo.Gen Trojaner - Bitte um Hilfe


Sieht besser aus, dennoch schlecht, es reproduzieren sich schädliche Dateien im System.

Allerdings hast Du nun einiges zu tun!
  • Service Pack 2 installieren
    (bekommst Du hier)
  • Alle Windows Updates installieren
    (Im Internet Explorer unter www.windowsupdate.com
  • Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!
  • Die Version Deines Acrobat Reader ist veraltet, aktualisiere Deine Version hier.
    Bei der Installation darauf achten, ihn ohne die Toolbar zu installieren!

  • Jetzt Antiviraktualisieren und wie hier beschrieben einstellen.
  • Nun einen Systemscan machen und das Ergebnis hier posten.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Antwort

Themen zu TR/Vundo.Gen Trojaner - Bitte um Hilfe
ad-aware, adobe, antivir, askbar, aufrufe, avira, bitte um hilfe, dll, drivers, explorer, f-secure, firefox, firewall, google, heulen, hijack, hijackthis, immer wieder, internet explorer, internet security, logfile, mozilla, mozilla firefox, programme, rundll, security, sehr geholfen, seiten, software, stimme, tr/vundo.gen, trojaner, unknown file in winsock lsp, usb, vielen dank, windows, windows xp


« Maus bewegt sich von alleine | Was habe ich mir da eingefangen?? »


Ähnliche Themen: TR/Vundo.Gen Trojaner - Bitte um Hilfe


  1. Bitte um Hilfe, Vundo befall?!
    Plagegeister aller Art und deren Bekämpfung - 25.10.2008 (0)
  2. TR/Vundo.Gen Trojaner den ich nicht löschen kann bitte um Hilfe
    Log-Analyse und Auswertung - 08.10.2008 (1)
  3. Vundo.Gen und Trash.Gen! Bitte um Hilfe.
    Plagegeister aller Art und deren Bekämpfung - 20.08.2008 (6)
  4. TR/VUNDO.HO Bitte un Eure Hilfe !
    Log-Analyse und Auswertung - 25.06.2008 (4)
  5. combofix bericht wegen vundo trojaner bitte um hilfe
    Plagegeister aller Art und deren Bekämpfung - 21.05.2008 (2)
  6. TR/Vundo.gen TR/vundo.AC Bitte um Hilfe
    Log-Analyse und Auswertung - 22.03.2008 (10)
  7. TR/Vundo.AC - Virus..Bitte um Hilfe!
    Log-Analyse und Auswertung - 14.03.2008 (0)
  8. TR/Vundo.gen in yayaa.dll bitte hilfe!
    Plagegeister aller Art und deren Bekämpfung - 31.01.2008 (16)
  9. Trojaner TR/Vundo.DNL nicht behebbar, bitte um HJT-Auswertung und Hilfe
    Plagegeister aller Art und deren Bekämpfung - 23.01.2008 (16)
  10. Trojaner Vundo/Logfile bitte um Hilfe!
    Log-Analyse und Auswertung - 21.12.2007 (7)
  11. Vundo bitte um Hilfe
    Mülltonne - 15.12.2007 (0)
  12. TR/Vundo.Gen, ich BITTE um HILFE
    Plagegeister aller Art und deren Bekämpfung - 21.11.2007 (1)
  13. Vundo.gen, bitte um hilfe!
    Plagegeister aller Art und deren Bekämpfung - 18.11.2007 (10)
  14. Bitte um Hilfe bei Tr./Vundo.gen
    Mülltonne - 15.10.2007 (0)
  15. bitte um Hilfe mit vundo
    Log-Analyse und Auswertung - 09.10.2007 (2)
  16. Vundo.Gen Log-File bitte um hilfe
    Mülltonne - 02.05.2007 (3)
  17. TR/vundo.gen..hilfe bitte!!!!!
    Log-Analyse und Auswertung - 04.09.2006 (13)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Vundo.Gen Trojaner - Bitte um Hilfe - Hallo ! Erstmal vielen Dank für die vielen Tipps von Euch die ich mir hier in den letzten Tagen schon erlesen habe und die mir bei meinen Computervirenproblemen schon sehr - TR/Vundo.Gen Trojaner - Bitte um Hilfe...
Archiv
Du betrachtest: TR/Vundo.Gen Trojaner - Bitte um Hilfe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27