TR/Vundo.Gen und TR/Agent25600 Befall!

Caerbenogg

Hallo,

bin neu hier im Forum und hab ein Problem mit o.g. Trojanern.
Ich hab mal nen Scan mit Malwarebytes durchgeführt und alle gefundene Obkekte gelöscht.

Malwarebytes Log:

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 870

18:32:26 22.06.2008
mbam-log-6-22-2008 (18-32-26).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 127706
Scan Dauer: 40 minute(s), 42 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\fccaBQKC.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\pucphlxj.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\mlJBtrqr.dll (Trojan.FakeAlert) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3a9aa8c-9b2b-4cda-a6c3-cf73f41e2343} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{c3a9aa8c-9b2b-4cda-a6c3-cf73f41e2343} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.FakeAlert) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.FakeAlert) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljbtrqr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\748ab387 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\fccabqkc -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\fccabqkc -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\fccaBQKC.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\CKQBaccf.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\CKQBaccf.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pucphlxj.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\jxlhpcup.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qbtosfdc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cdfsotbq.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mlJBtrqr.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\System Volume Information\_restore{C483095B-8D55-47B4-91D9-F8F8E4086287}\RP768\A0173225.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C483095B-8D55-47B4-91D9-F8F8E4086287}\RP768\A0173286.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C483095B-8D55-47B4-91D9-F8F8E4086287}\RP768\A0173287.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C483095B-8D55-47B4-91D9-F8F8E4086287}\RP768\A0173288.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\Downloads\Programme\qip8010.exe (Trojan.Agent) -> Quarantined and deleted successfully.


Hier das HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]



Und zuguterletzt das AntiVir Log:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 22. Juni 2008 18:52

Es wird nach 1350570 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: *******
Computername: *******

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 17.04.2008 00:53:04
AVSCAN.DLL : 8.1.1.0 57601 Bytes 17.04.2008 00:53:04
LUKE.DLL : 8.1.2.9 151809 Bytes 17.04.2008 00:53:04
LUKERES.DLL : 8.1.2.0 12545 Bytes 17.04.2008 00:53:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 23:02:49
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 23:13:03
ANTIVIR2.VDF : 7.0.4.195 2546176 Bytes 14.06.2008 22:24:43
ANTIVIR3.VDF : 7.0.4.233 260608 Bytes 21.06.2008 16:51:51
Engineversion : 8.1.0.59
AEVDF.DLL : 8.1.0.5 102772 Bytes 17.04.2008 00:53:04
AESCRIPT.DLL : 8.1.0.44 278907 Bytes 21.06.2008 13:54:58
AESCN.DLL : 8.1.0.22 119157 Bytes 21.06.2008 13:54:58
AERDL.DLL : 8.1.0.20 418165 Bytes 26.04.2008 14:16:10
AEPACK.DLL : 8.1.1.6 364918 Bytes 21.06.2008 13:54:57
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 21.06.2008 13:54:57
AEHEUR.DLL : 8.1.0.32 1274231 Bytes 21.06.2008 13:54:56
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 16:08:25
AEGEN.DLL : 8.1.0.29 307573 Bytes 21.06.2008 13:54:49
AEEMU.DLL : 8.1.0.6 430451 Bytes 12.05.2008 18:04:44
AECORE.DLL : 8.1.0.31 168310 Bytes 06.06.2008 23:32:45
AVWINLL.DLL : 1.0.0.7 14593 Bytes 17.04.2008 00:53:04
AVPREF.DLL : 8.0.0.1 25857 Bytes 17.04.2008 00:53:04
AVREP.DLL : 7.0.0.1 155688 Bytes 21.04.2007 17:03:19
AVREG.DLL : 8.0.0.0 30977 Bytes 17.04.2008 00:53:04
AVARKT.DLL : 1.0.0.23 307457 Bytes 17.04.2008 00:53:04
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 17.04.2008 00:53:04
SQLITE3.DLL : 3.3.17.1 339968 Bytes 17.04.2008 00:53:04
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 17.04.2008 00:53:04
NETNT.DLL : 8.0.0.1 7937 Bytes 17.04.2008 00:53:04
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 17.04.2008 00:53:01
RCTEXT.DLL : 8.0.32.0 86273 Bytes 17.04.2008 00:53:01

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 22. Juni 2008 18:52

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '35' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <NEVER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Sonntag, 22. Juni 2008 19:21
Benötigte Zeit: 28:34 min

Der Suchlauf wurde vollständig durchgeführt.

10193 Verzeichnisse wurden überprüft
337275 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
337275 Dateien ohne Befall
1738 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Bin sehr dankbar für jegliche Hilfestellung, wie ich jetzt vorgehen sollte.

Grüße!
Alex