|
Log-Analyse und Auswertung: Vundo? Removaltools finden nichts.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.05.2008, 07:27 | #1 |
| Vundo? Removaltools finden nichts. Mein FreeAV meldet alle Nase lang (mal ein Stunde, mal mehre Stunden) eine DLL Dateien (z.B. C:\WINDOWS\system32\wvUlmnkk.dll) mit der Infektion TR/Crypt.XPACK.Gen und einen Ordner/eine Datei im temporärern IE-Verzeichnis. Diese kann man auch erfolgreich löschen. Analyse wvUlmnkk.dll Da die Meldung wiederkehrt war mir klar das da noch irgend etwas im System steckt. Der Übeltäter scheint C:\WINDOWS\system32\qoMcbBQg.dll zu sein. Analyse qoMcbBQg.dll Leider habe ich keinen Erfolg gehabt die Malware per Removal-Tool zu entfernen. Diese Tools finden einfach nichts. Vielleicht könnt Ihr mir ja weiterhelfen. Mein PC war seid 5 Jahren c.a. Virenfrei, also hab ich nicht so die Ahnung wie man da genau vorgeht Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:02:02, on 26.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe C:\Programme\Pidgin\pidgin.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/de/sp_file_main.php%22 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {B6E95516-27C0-443D-9BA9-ABD8C12BAE16} - C:\WINDOWS\system32\qoMcbBQg.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [XMouseButton] C:\Programme\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [Pidgin] C:\Programme\Pidgin\pidgin.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{D734160F-687A-4B6F-B769-154CC262C333}: NameServer = 192.168.0.1 O20 - Winlogon Notify: qoMcbBQg - C:\WINDOWS\SYSTEM32\qoMcbBQg.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 4575 bytes |
26.05.2008, 09:21 | #2 |
/// TB-Ausbilder | Vundo? Removaltools finden nichts. Hi,
__________________lass bitte mal folgendes Tool durchlaufen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. lg myrtille
__________________ |
26.05.2008, 09:55 | #3 |
| Vundo? Removaltools finden nichts. ComboFix 08-05-25.3 - ZENSIERT 2008-05-26 10:43:13.1 - NTFSx86
__________________Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.689 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\ZENSIERT\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-04-26 bis 2008-05-26 )))))))))))))))))))))))))))))) . 2008-05-26 10:34 . 2008-05-26 10:34 <DIR> d-------- C:\Programme\CCleaner 2008-05-26 07:51 . 2008-05-26 07:51 <DIR> d-------- C:\VundoFix Backups 2008-05-26 07:41 . 2008-05-26 07:41 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\Malwarebytes 2008-05-26 07:41 . 2008-05-26 07:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes 2008-05-25 02:32 . 2008-05-25 02:32 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\AdobeUM 2008-05-24 23:16 . 2008-05-24 23:39 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\PlaneShift 2008-05-24 22:57 . 2008-05-24 22:57 58,368 --a------ C:\WINDOWS\system32\qoMcbBQg.dll 2008-05-22 04:29 . 2008-05-22 04:29 <DIR> d-------- C:\Programme\DivX 2008-05-22 00:37 . 2008-05-22 00:37 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\.thumbnails 2008-05-22 00:36 . 2008-05-22 00:38 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\.gimp-2.2 2008-05-22 00:35 . 2008-05-22 00:36 <DIR> d-------- C:\Programme\GIMPshop 2008-05-19 22:55 . 2008-05-22 01:14 <DIR> d-------- C:\Programme\Freeciv-2.1.4-gtk2 2008-05-13 21:23 . 2008-05-13 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\jamplayer 2008-05-13 21:23 . 2008-05-13 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\jamfiles 2008-05-13 21:22 . 2008-05-13 21:22 <DIR> d-------- C:\Programme\Jamendo 2008-05-13 21:22 . 2008-05-13 21:22 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\pyjama 2008-05-12 21:51 . 2008-05-12 21:51 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\OpenArena 2008-04-29 21:05 . 2008-04-29 21:33 196 --a------ C:\WINDOWS\appr.ini 2008-04-29 21:03 . 2008-04-29 21:03 <DIR> d-------- C:\Programme\AEBPR 2008-04-29 21:03 . 2008-04-29 21:05 195 --a------ C:\WINDOWS\aebpr.ini 2008-04-28 13:06 . 2008-04-28 13:06 <DIR> d-------- C:\Programme\Lugaru 2008-04-28 13:06 . 2004-05-27 18:12 864,256 --a------ C:\WINDOWS\system32\DevIL.dll 2008-04-28 13:06 . 2004-10-18 12:04 161,280 --a------ C:\WINDOWS\system32\fmod.dll 2008-04-28 13:06 . 2004-05-27 18:12 81,920 --a------ C:\WINDOWS\system32\ILU.dll 2008-04-28 13:06 . 2004-05-27 18:28 36,864 --a------ C:\WINDOWS\system32\ILUT.dll 2008-04-27 22:00 . 2008-04-27 22:17 <DIR> d-------- C:\Programme\Bos Wars 2008-04-27 20:54 . 2008-04-27 21:04 <DIR> d-------- C:\Programme\ASC . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-26 08:41 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\.purple 2008-05-26 08:37 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy 2008-05-26 05:29 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-05-26 04:33 --------- d-----w C:\Programme\Trend Micro 2008-05-25 05:43 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\gtk-2.0 2008-05-24 22:57 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\uTorrent 2008-05-24 21:08 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-05-23 21:36 --------- d-----w C:\Programme\Zak2 2008-05-23 21:35 39,634 ----a-w C:\Programme\messages.log 2008-05-22 03:39 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\OpenOffice.org2 2008-05-13 14:00 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\AdobeUM 2008-04-25 03:07 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-04-25 03:07 --------- d-----w C:\Programme\PC Inspector File Recovery 2008-04-25 03:03 --------- d-----w C:\Programme\Alexander Grau 2008-04-25 02:58 --------- d-----w C:\Programme\Western Digital 2008-04-16 15:59 --------- d-----w C:\Programme\uTorrent 2008-04-05 15:39 --------- d--h--w C:\Programme\CanonBJ 2008-04-03 17:06 --------- d-----w C:\Programme\xp-Iso-Builder 2008-04-03 17:03 --------- d-----w C:\Programme\Spring 2008-04-03 17:02 --------- d-----w C:\Programme\Pegasus Imaging 2008-04-03 17:01 --------- d-----w C:\Programme\Macromedia 2008-04-03 17:00 --------- d-----w C:\Programme\ITIME 2008-04-03 16:59 --------- d-----w C:\Programme\HLSW 2008-04-03 16:59 --------- d-----w C:\Programme\GY Sitemapper 2008-04-03 16:58 --------- d-----w C:\Programme\Aspell 2008-04-03 16:57 --------- d-----w C:\Programme\VstPlugins 2008-04-03 16:56 --------- d-----w C:\Programme\DMXControl 2008-04-03 16:51 --------- d-----w C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\VMware 2008-04-03 16:49 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\VMware 2008-04-03 16:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis 2008-04-03 16:47 --------- d-----w C:\Programme\Apperson 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}] 2008-05-24 22:57 58368 --a------ C:\WINDOWS\system32\qoMcbBQg.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Pidgin"="C:\Programme\Pidgin\pidgin.exe" [2007-12-07 20:53 44658] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 11:11 262401] "XMouseButton"="C:\Programme\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe" [2006-09-13 21:50 335872] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 01:07 8491008] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024] C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\ Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-12-12 17:09:21 110592] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMBalloonTip"= 0 (0x0) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMBalloonTip"= 0 (0x0) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}"= C:\WINDOWS\system32\qoMcbBQg.dll [2008-05-24 22:57 58368] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMcbBQg] qoMcbBQg.dll 2008-05-24 22:57 58368 C:\WINDOWS\system32\qoMcbBQg.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "WengoPhoneNG"=C:\Programme\WengoPhone\qtwengophone.exe -b "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SE-CS Internettime"=C:\Programme\ITIME\itime.exe "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2006-11-22 15:27] S1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;C:\WINDOWS\system32\drivers\hcw88aud.sys [2005-12-05 17:23] S3 asbp2poa;asbp2poa;C:\DOKUME~1\ZENSIERT\LOKALE~1\Temp\asbp2poa.sys [] S3 atirage;atirage;C:\WINDOWS\system32\DRIVERS\atiragem.sys [2001-08-18 04:19] S3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;C:\WINDOWS\system32\drivers\hcw88bda.sys [2005-12-05 17:24] S3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;C:\WINDOWS\system32\Drivers\hcw88rc5.sys [2005-12-05 17:26] S3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;C:\WINDOWS\system32\drivers\hcw88tse.sys [2005-12-05 17:26] S3 hcw88vid;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2005-12-05 17:27] S3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2005-12-05 17:22] S3 mgau;mgau;C:\WINDOWS\system32\DRIVERS\mgaum.sys [2001-08-18 04:22] S3 TMPassthruMP;TMPassthruMP;C:\WINDOWS\system32\DRIVERS\TMPassthru.sys [] S3 ZD1211U(WLAN);802.11g USB 2.0 WLAN Adapter(WLAN);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2005-08-16 07:50] *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER Rootkit scan 2008-05-26 10:44:49 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\qoMcbBQg.dll . Zeit der Fertigstellung: 2008-05-26 10:46:22 ComboFix-quarantined-files.txt 2008-05-26 08:46:06 9 Verzeichnis(se), 3,547,852,800 Bytes frei 12 Verzeichnis(se), 3,545,296,896 Bytes frei 143 --- E O F --- 2008-05-16 01:52:37 Geändert von z3c (26.05.2008 um 10:27 Uhr) |
26.05.2008, 10:06 | #4 |
/// TB-Ausbilder | Vundo? Removaltools finden nichts. Hi, mache bitte folgendes: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter file:: C:\WINDOWS\system32\qoMcbBQg.dll registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMcbBQg] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}"=- 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
26.05.2008, 10:26 | #5 |
| Vundo? Removaltools finden nichts. Es hat anscheinend geklappt, jedenfalls ist die Datei verschwunden. Vielen Dank für die Hilfe ComboFix 08-05-25.3 - ZENSIERT 2008-05-26 11:09:13.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.687 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\ZENSIERT\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\ZENSIERT\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! FILE :: C:\WINDOWS\system32\qoMcbBQg.dll . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\qoMcbBQg.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-04-26 bis 2008-05-26 )))))))))))))))))))))))))))))) . 2008-05-26 10:34 . 2008-05-26 10:34 <DIR> d-------- C:\Programme\CCleaner 2008-05-26 07:51 . 2008-05-26 07:51 <DIR> d-------- C:\VundoFix Backups 2008-05-26 07:41 . 2008-05-26 07:41 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\Malwarebytes 2008-05-26 07:41 . 2008-05-26 07:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes 2008-05-24 23:16 . 2008-05-24 23:39 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\PlaneShift 2008-05-22 04:29 . 2008-05-22 04:29 <DIR> d-------- C:\Programme\DivX 2008-05-22 00:37 . 2008-05-22 00:37 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\.thumbnails 2008-05-22 00:36 . 2008-05-22 00:38 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\.gimp-2.2 2008-05-22 00:35 . 2008-05-22 00:36 <DIR> d-------- C:\Programme\GIMPshop 2008-05-19 22:55 . 2008-05-22 01:14 <DIR> d-------- C:\Programme\Freeciv-2.1.4-gtk2 2008-05-13 21:23 . 2008-05-13 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\jamplayer 2008-05-13 21:23 . 2008-05-13 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\jamfiles 2008-05-13 21:22 . 2008-05-13 21:22 <DIR> d-------- C:\Programme\Jamendo 2008-05-13 21:22 . 2008-05-13 21:22 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\pyjama 2008-05-12 21:51 . 2008-05-12 21:51 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\OpenArena 2008-04-29 21:05 . 2008-04-29 21:33 196 --a------ C:\WINDOWS\appr.ini 2008-04-29 21:03 . 2008-04-29 21:03 <DIR> d-------- C:\Programme\AEBPR 2008-04-29 21:03 . 2008-04-29 21:05 195 --a------ C:\WINDOWS\aebpr.ini 2008-04-28 13:06 . 2008-04-28 13:06 <DIR> d-------- C:\Programme\Lugaru 2008-04-28 13:06 . 2004-05-27 18:12 864,256 --a------ C:\WINDOWS\system32\DevIL.dll 2008-04-28 13:06 . 2004-10-18 12:04 161,280 --a------ C:\WINDOWS\system32\fmod.dll 2008-04-28 13:06 . 2004-05-27 18:12 81,920 --a------ C:\WINDOWS\system32\ILU.dll 2008-04-28 13:06 . 2004-05-27 18:28 36,864 --a------ C:\WINDOWS\system32\ILUT.dll 2008-04-27 22:00 . 2008-04-27 22:17 <DIR> d-------- C:\Programme\Bos Wars 2008-04-27 20:54 . 2008-04-27 21:04 <DIR> d-------- C:\Programme\ASC . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-26 09:13 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\.purple 2008-05-26 08:55 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-05-26 08:37 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy 2008-05-26 04:33 --------- d-----w C:\Programme\Trend Micro 2008-05-25 05:43 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\gtk-2.0 2008-05-24 22:57 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\uTorrent 2008-05-24 21:08 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-05-23 21:36 --------- d-----w C:\Programme\Zak2 2008-05-23 21:35 39,634 ----a-w C:\Programme\messages.log 2008-05-22 03:39 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\OpenOffice.org2 2008-05-13 14:00 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\AdobeUM 2008-04-25 03:07 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-04-25 03:07 --------- d-----w C:\Programme\PC Inspector File Recovery 2008-04-25 03:03 --------- d-----w C:\Programme\Alexander Grau 2008-04-25 02:58 --------- d-----w C:\Programme\Western Digital 2008-04-16 15:59 --------- d-----w C:\Programme\uTorrent 2008-04-05 15:39 --------- d--h--w C:\Programme\CanonBJ 2008-04-03 17:06 --------- d-----w C:\Programme\xp-Iso-Builder 2008-04-03 17:03 --------- d-----w C:\Programme\Spring 2008-04-03 17:02 --------- d-----w C:\Programme\Pegasus Imaging 2008-04-03 17:01 --------- d-----w C:\Programme\Macromedia 2008-04-03 17:00 --------- d-----w C:\Programme\ITIME 2008-04-03 16:59 --------- d-----w C:\Programme\HLSW 2008-04-03 16:59 --------- d-----w C:\Programme\GY Sitemapper 2008-04-03 16:58 --------- d-----w C:\Programme\Aspell 2008-04-03 16:57 --------- d-----w C:\Programme\VstPlugins 2008-04-03 16:56 --------- d-----w C:\Programme\DMXControl 2008-04-03 16:49 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\VMware 2008-04-03 16:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis 2008-04-03 16:47 --------- d-----w C:\Programme\Apperson 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys . ((((((((((((((((((((((((((((( snapshot@2008-05-26_10.45.30,85 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-26 03:10:34 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-26 09:12:00 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Pidgin"="C:\Programme\Pidgin\pidgin.exe" [2007-12-07 20:53 44658] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 11:11 262401] "XMouseButton"="C:\Programme\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe" [2006-09-13 21:50 335872] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 01:07 8491008] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMBalloonTip"= 0 (0x0) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMBalloonTip"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "WengoPhoneNG"=C:\Programme\WengoPhone\qtwengophone.exe -b "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SE-CS Internettime"=C:\Programme\ITIME\itime.exe "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2006-11-22 15:27] S1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;C:\WINDOWS\system32\drivers\hcw88aud.sys [2005-12-05 17:23] S3 asbp2poa;asbp2poa;C:\DOKUME~1\ZENSIERT\LOKALE~1\Temp\asbp2poa.sys [] S3 atirage;atirage;C:\WINDOWS\system32\DRIVERS\atiragem.sys [2001-08-18 04:19] S3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;C:\WINDOWS\system32\drivers\hcw88bda.sys [2005-12-05 17:24] S3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;C:\WINDOWS\system32\Drivers\hcw88rc5.sys [2005-12-05 17:26] S3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;C:\WINDOWS\system32\drivers\hcw88tse.sys [2005-12-05 17:26] S3 hcw88vid;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2005-12-05 17:27] S3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2005-12-05 17:22] S3 mgau;mgau;C:\WINDOWS\system32\DRIVERS\mgaum.sys [2001-08-18 04:22] S3 TMPassthruMP;TMPassthruMP;C:\WINDOWS\system32\DRIVERS\TMPassthru.sys [] S3 ZD1211U(WLAN);802.11g USB 2.0 WLAN Adapter(WLAN);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2005-08-16 07:50] *Newly Created Service* - PGFILTER . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER Rootkit scan 2008-05-26 11:13:00 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wbem\wmiadap.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-26 11:16:22 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-26 09:16:19 ComboFix2.txt 2008-05-26 08:46:23 9 Verzeichnis(se), 3,514,093,568 Bytes frei 11 Verzeichnis(se), 3,518,373,888 Bytes frei 154 --- E O F --- 2008-05-16 01:52:37 |
26.05.2008, 10:33 | #6 |
/// TB-Ausbilder | Vundo? Removaltools finden nichts. Sieht gut aus. Combofix kannst du jetzt deinstallieren indem du unter Start->Ausführen->combofix /u eingibst. Erstelle zum Abschluss noch ein Hijakcthislog. lg myrtille
__________________ --> Vundo? Removaltools finden nichts. |
26.05.2008, 10:40 | #7 |
| Vundo? Removaltools finden nichts. Könnte jemand Interesse an der in Quarantäne gestellten dll haben? Avira hab ich sie bereits gemeldet, erkannt wird sie ja leider nicht (erst die von der dll nachgeladenen dlls werden erkannt). Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:35:05, on 26.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe C:\Programme\Pidgin\pidgin.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Nero – Nero AG ? Marktführer im Bereich Lösungen für digitale Medien - offizielle Webseite O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [XMouseButton] C:\Programme\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [Pidgin] C:\Programme\Pidgin\pidgin.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{D734160F-687A-4B6F-B769-154CC262C333}: NameServer = 192.168.0.1 O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 4698 bytes |
26.05.2008, 10:45 | #8 |
/// TB-Ausbilder | Vundo? Removaltools finden nichts. Hi, wenn du Lust und Laune hast, kannst du die Datei zb bei virustotal hochladen. Dort kannst du zum einen sehen, wer die Datei erkennt und zum andern wird das Sample dann an die dort gelisteten Antivirenprogrammhersteller weitergeleitet. Dein Java ist übrigens veraltet. Am besten (alle) über Start->Systemsteuerung->Software deinstallieren und danach das neueste von sun installieren. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
26.05.2008, 11:49 | #9 |
| Vundo? Removaltools finden nichts. danke für den Tipp mit dem java XD Hab irgendwann die Updatefunktion ausgeschaltet weils nervte. Werds runterschmeißen und nicht neu installieren. Muss eigentlich eh mal aufräumen. Die Datei hatte ich ja bereits bei Virustotal hochgeladen. Dann kann ich ja den ganzen Rotz so löschen Vielen Dank noch mal. Hast mir echt geholfen :aplaus: |
Themen zu Vundo? Removaltools finden nichts. |
adobe, antivir, avira, bho, dateien, dll, dll dateien, explorer, helper, hijack, hijackthis, internet, internet explorer, malware, microsoft, mozilla, mozilla thunderbird, nvidia, pdf, programme, rundll, software, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, unknown file in winsock lsp, vundo, windows, windows xp |