TR/Vundo.Gen

Extreme · 16.05.2008, 14:45

Hallo, habe mir vorgestern irgendwo den trojaner TR/vundo.gen eingefangen.

Hatte auch das Programm "MalWarrior 2008" .. hab dann nach lösungen gegooglet um das programm zu enfernen aber irgendwie hab ich das gefühl das hat die sache nur verschlechtert denn ab dann kamen alle paar minuten fehlermeldungen, dass ein virus gefunden wurde und ich mir doch bitte für 30 dollar das entsprechende antivirenprogramm kaufen soll.

habe erst ein paar auffällige .dll dateien mit spybot aus meinem systemstartsordner gelöscht ... dann wa soweit alles wieder ok und es kamen auch keine meldungen mehr für etwa 3 stunden. doch nach den 3 stunden meldete sich wieder mein antivir zu wort und zeigte mir an, dass die datei
c:\windows\system32\ljJyVmJa.dll der Trojaner TR/Vundo.Gen ist.
obwohl ich diese datei schon mehrere male mit spybot (auch im abgesicherten modus) aus meiner systemstart liste gelöschth atte, trägt sie sich dort immer wieder erneut ein.

ich erstelle jetz mal die entsprechenden logfiles und poste sie.

habe die scans gemacht und mein antivir findet den trojaner immernoch.

habe mal die zeilen dick hervorgehoben, die den pfad zur befallenen .dll datei angeben.

mfg Extreme

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:37:19, on 16.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\FRAPS\FRAPS.EXE
C:\Programme\Xfire\Xfire.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3164 bytes

Zitat:

SDFix: Version 1.182
Run by *** on 16.05.2008 at 15:24

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\***\Desktop\sdfix\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\DOKUME~1\***\LOKALE~1\Temp\privacy_danger\index.htm - Deleted
C:\DOKUME~1\***\LOKALE~1\Temp\privacy_danger\images\capt.gif - Deleted
C:\DOKUME~1\***\LOKALE~1\Temp\privacy_danger\images\danger.jpg - Deleted
C:\DOKUME~1\***\LOKALE~1\Temp\privacy_danger\images\down.gif - Deleted
C:\DOKUME~1\***\LOKALE~1\Temp\privacy_danger\images\spacer.gif - Deleted
C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url - Deleted
C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url - Deleted
C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url - Deleted
C:\WINDOWS\mpfanvqg.dll - Deleted
C:\WINDOWS\oadkxrts.exe - Deleted
C:\WINDOWS\rs.txt - Deleted
C:\WINDOWS\system32\hook.dll - Deleted
C:\WINDOWS\vbksrofa.dll - Deleted

Folder C:\DOKUME~1\***\LOKALE~1\Temp\privacy_danger - Removed

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-05-16 15:32:01
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"="C:\\Programme\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"C:\\Programme\\DNA\\btdna.exe"="C:\\Programme\\DNA\\btdna.exe:*:Enabled

NA"
"C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :

File Backups: - C:\DOKUME~1\***\Desktop\sdfix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Sun 27 Jan 2008 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"

Finished!

Zitat:

ComboFix 08-05-15.3 - *** 2008-05-16 15:54:23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2600 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\lnpbdoag.ini
C:\WINDOWS\system32\LUFOnnmp.ini
C:\WINDOWS\system32\LUFOnnmp.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mpplnajs.ini
C:\WINDOWS\system32\pmnnOFUL.dll
C:\WINDOWS\system32\xkcmkmwn.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-16 bis 2008-05-16 ))))))))))))))))))))))))))))))
.

2008-05-16 15:37 . 2008-05-16 15:37 <DIR> d-------- C:\Programme\Trend Micro
2008-05-16 15:19 . 2008-05-16 15:19 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-15 21:51 . 2008-05-15 21:51 91,328 --a------ C:\WINDOWS\system32\sjanlppm.dll
2008-05-14 18:45 . 2008-05-14 18:45 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-05-14 18:45 . 2008-05-14 18:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-14 16:27 . 2008-05-14 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TmpRecentIcons
2008-05-14 16:17 . 2007-12-21 14:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-14 16:17 . 2008-05-14 16:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-14 16:17 . 2008-05-16 15:54 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT.LOG
2008-05-14 16:00 . 2008-05-14 16:25 <DIR> d-------- C:\Programme\Enigma Software Group
2008-05-14 14:42 . 2008-05-14 14:42 29,824 --a------ C:\WINDOWS\system32\rqRHbCuv.dll
2008-05-14 14:40 . 2008-05-14 14:40 29,824 --a------ C:\WINDOWS\system32\ljJyVmJa.dll
2008-05-14 14:38 . 2008-05-14 14:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
2008-05-10 16:03 . 2008-05-10 16:03 <DIR> d-------- C:\Programme\Zattoo
2008-04-26 20:01 . 2004-08-04 00:58 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-04-26 20:01 . 2004-08-04 00:58 91,136 --a--c--- C:\WINDOWS\system32\dllcache\kswdmcap.ax
2008-04-26 20:01 . 2004-08-04 00:58 61,952 --a------ C:\WINDOWS\system32\kstvtune.ax
2008-04-26 20:01 . 2004-08-04 00:58 61,952 --a--c--- C:\WINDOWS\system32\dllcache\kstvtune.ax
2008-04-26 20:01 . 2004-08-04 00:57 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2008-04-26 20:01 . 2004-08-04 00:57 54,272 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
2008-04-26 20:01 . 2004-08-04 00:58 43,008 --a------ C:\WINDOWS\system32\ksxbar.ax
2008-04-26 20:01 . 2004-08-04 00:58 43,008 --a--c--- C:\WINDOWS\system32\dllcache\ksxbar.ax
2008-04-26 20:01 . 2004-08-04 00:58 28,672 --a------ C:\WINDOWS\system32\vidcap.ax
2008-04-26 20:01 . 2004-08-04 00:58 28,672 --a--c--- C:\WINDOWS\system32\dllcache\vidcap.ax
2008-04-26 20:00 . 2008-04-26 20:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\snpstd
2008-04-26 20:00 . 2005-12-06 18:16 390,656 --a------ C:\WINDOWS\system32\drivers\snpstd.sys
2008-04-26 20:00 . 2005-10-11 13:54 339,968 --a------ C:\WINDOWS\vsnpstd.exe
2008-04-26 20:00 . 2005-04-20 17:34 61,440 --a------ C:\WINDOWS\system32\rsnpstd.dll
2008-04-26 20:00 . 2004-02-16 13:59 61,440 --a------ C:\WINDOWS\system32\csnpstd.dll
2008-04-26 20:00 . 2002-07-03 11:44 53,248 --a------ C:\WINDOWS\amcap.exe
2008-04-26 20:00 . 2005-04-20 17:16 36,864 --a------ C:\WINDOWS\system32\vsnpstd.dll
2008-04-26 20:00 . 2005-10-19 19:22 36,864 --a------ C:\WINDOWS\system32\dsnpstd.ax
2008-04-26 20:00 . 2005-02-01 19:29 20,480 --a------ C:\WINDOWS\usnpstd.exe
2008-04-26 20:00 . 2003-01-17 17:34 15,541 --a------ C:\WINDOWS\snpstd.ini
2008-04-26 20:00 . 2003-01-17 17:35 13,023 --a------ C:\WINDOWS\snpstd.src
2008-04-24 17:32 . 2008-04-24 17:46 8 --a------ C:\WINDOWS\system32\nvModes.dat
2008-04-23 00:29 . 2008-04-23 00:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-04-22 16:02 . 2008-04-22 16:02 <DIR> d-------- C:\Programme\PremiumSoft
2008-04-22 16:02 . 2006-04-13 11:30 1,073,152 --a------ C:\WINDOWS\system32\libmysql_c.dll
2008-04-21 19:43 . 2008-04-21 19:43 <DIR> d-------- C:\Programme\OpenOffice.org 2.4
2008-04-21 19:31 . 2008-04-21 19:31 <DIR> d-------- C:\Programme\EPSON
2008-04-21 16:43 . 2008-04-21 16:43 <DIR> d-------- C:\Programme\eRightSoft
2008-04-19 17:15 . 2008-04-19 17:15 <DIR> d-------- C:\Programme\Ventrilo
2008-04-19 17:15 . 2008-04-26 18:09 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ventrilo
2008-04-19 17:14 . 2008-04-19 17:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-19 14:29 . 2008-04-19 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
3 Datei(en) . 525,502 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-16 12:01 --------- d-s---w C:\Programme\Xfire
2008-05-14 19:45 --------- d-----w C:\Programme\World of Warcraft
2008-05-14 17:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-14 17:28 --------- d-----w C:\Programme\Winamp
2008-05-14 17:28 --------- d-----w C:\Programme\CyberLink
2008-05-14 15:11 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2
2008-05-14 14:24 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-09 22:49 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2
2008-04-29 16:52 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire
2008-04-23 14:55 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\BitTorrent
2008-04-22 20:41 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp
2008-04-22 14:40 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Audacity
2008-04-21 17:43 --------- d-----w C:\Programme\OpenOffice.org 2.0
2008-04-19 12:07 --------- d-----w C:\Programme\ICQ6
2008-03-30 00:35 --------- d-----w C:\Programme\BitTorrent
2008-03-26 03:30 --------- d-----w C:\Programme\Steam
2008-03-19 16:10 --------- d-----w C:\Programme\P-Player
2008-03-19 00:20 --------- d-----w C:\Programme\FLV Player
2008-02-05 00:10 43,324 ----a-w C:\Dokumente und Einstellungen\***\.cxpg6prf.dat
.

------- Sigcheck -------

2004-08-10 18:11 359040 27a5959c94ee173a063ca06bd14f021a C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4D1277E3-AD9F-4677-A977-725C7E20602D}]
2008-05-14 14:40 29824 --a------ C:\WINDOWS\system32\ljJyVmJa.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Fraps"="C:\FRAPS\FRAPS.EXE" [2004-12-10 14:36 2723840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-03 09:52 16841216 C:\WINDOWS\RTHDCPL.exe]
"Gainward"="C:\WINDOWS\TBPanel.exe" [2007-06-26 08:56 2173480]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-07-23 03:41 8466432]
"nwiz"="nwiz.exe" [2007-07-23 03:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-07-23 03:41 81920]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{4D1277E3-AD9F-4677-A977-725C7E20602D}"= C:\WINDOWS\system32\ljJyVmJa.dll [2008-05-14 14:40 29824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJyVmJa]
ljJyVmJa.dll 2008-05-14 14:40 29824 C:\WINDOWS\system32\ljJyVmJa.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm
"vidc.yv12"= yv12vfw.dll
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
--a------ 2007-12-18 03:02 471040 C:\Programme\Winamp Remote\bin\OrbTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-22 23:46 1266936 C:\Programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=

R3 AR5523;Gigaset USB Adapter 108;C:\WINDOWS\system32\DRIVERS\ar5523.sys [2005-07-27 15:11]
R3 SaiM27G Filter;SaiM27G Filter;C:\WINDOWS\system32\Drivers\SaiM27G.sys [2004-11-19 12:39]
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2007-12-21 15:12]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\AUTORUN.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{852d665c-0718-11dd-9fd1-0001e35b1775}]
\Shell\AutoRun\command - E:\autorun.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-05-16 15:57:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\ljJyVmJa.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-16 16:01:15 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-16 14:00:17

18 Verzeichnis(se), 130,073,915,392 Bytes frei
21 Verzeichnis(se), 130,055,258,112 Bytes frei

176

TR/Vundo.Gen

Plagegeister aller Art und deren Bekämpfung: TR/Vundo.Gen

TR/Vundo.Gen

Ähnliche Themen: TR/Vundo.Gen