TR/Vundo.Gen und TR/Agent25600 Befall!

Caerbenogg · 22.06.2008, 20:51

Hallo,

bin neu hier im Forum und hab ein Problem mit o.g. Trojanern.
Ich hab mal nen Scan mit Malwarebytes durchgeführt und alle gefundene Obkekte gelöscht.

Malwarebytes Log:

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 870

18:32:26 22.06.2008
mbam-log-6-22-2008 (18-32-26).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 127706
Scan Dauer: 40 minute(s), 42 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\fccaBQKC.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\pucphlxj.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\mlJBtrqr.dll (Trojan.FakeAlert) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3a9aa8c-9b2b-4cda-a6c3-cf73f41e2343} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{c3a9aa8c-9b2b-4cda-a6c3-cf73f41e2343} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.FakeAlert) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.FakeAlert) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljbtrqr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\748ab387 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\fccabqkc -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\fccabqkc -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\fccaBQKC.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\CKQBaccf.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\CKQBaccf.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pucphlxj.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\jxlhpcup.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qbtosfdc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cdfsotbq.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mlJBtrqr.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\System Volume Information\_restore{C483095B-8D55-47B4-91D9-F8F8E4086287}\RP768\A0173225.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C483095B-8D55-47B4-91D9-F8F8E4086287}\RP768\A0173286.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C483095B-8D55-47B4-91D9-F8F8E4086287}\RP768\A0173287.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C483095B-8D55-47B4-91D9-F8F8E4086287}\RP768\A0173288.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\Downloads\Programme\qip8010.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Hier das HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

Und zuguterletzt das AntiVir Log:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 22. Juni 2008 18:52

Es wird nach 1350570 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: *******
Computername: *******

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 17.04.2008 00:53:04
AVSCAN.DLL : 8.1.1.0 57601 Bytes 17.04.2008 00:53:04
LUKE.DLL : 8.1.2.9 151809 Bytes 17.04.2008 00:53:04
LUKERES.DLL : 8.1.2.0 12545 Bytes 17.04.2008 00:53:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 23:02:49
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 23:13:03
ANTIVIR2.VDF : 7.0.4.195 2546176 Bytes 14.06.2008 22:24:43
ANTIVIR3.VDF : 7.0.4.233 260608 Bytes 21.06.2008 16:51:51
Engineversion : 8.1.0.59
AEVDF.DLL : 8.1.0.5 102772 Bytes 17.04.2008 00:53:04
AESCRIPT.DLL : 8.1.0.44 278907 Bytes 21.06.2008 13:54:58
AESCN.DLL : 8.1.0.22 119157 Bytes 21.06.2008 13:54:58
AERDL.DLL : 8.1.0.20 418165 Bytes 26.04.2008 14:16:10
AEPACK.DLL : 8.1.1.6 364918 Bytes 21.06.2008 13:54:57
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 21.06.2008 13:54:57
AEHEUR.DLL : 8.1.0.32 1274231 Bytes 21.06.2008 13:54:56
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 16:08:25
AEGEN.DLL : 8.1.0.29 307573 Bytes 21.06.2008 13:54:49
AEEMU.DLL : 8.1.0.6 430451 Bytes 12.05.2008 18:04:44
AECORE.DLL : 8.1.0.31 168310 Bytes 06.06.2008 23:32:45
AVWINLL.DLL : 1.0.0.7 14593 Bytes 17.04.2008 00:53:04
AVPREF.DLL : 8.0.0.1 25857 Bytes 17.04.2008 00:53:04
AVREP.DLL : 7.0.0.1 155688 Bytes 21.04.2007 17:03:19
AVREG.DLL : 8.0.0.0 30977 Bytes 17.04.2008 00:53:04
AVARKT.DLL : 1.0.0.23 307457 Bytes 17.04.2008 00:53:04
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 17.04.2008 00:53:04
SQLITE3.DLL : 3.3.17.1 339968 Bytes 17.04.2008 00:53:04
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 17.04.2008 00:53:04
NETNT.DLL : 8.0.0.1 7937 Bytes 17.04.2008 00:53:04
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 17.04.2008 00:53:01
RCTEXT.DLL : 8.0.32.0 86273 Bytes 17.04.2008 00:53:01

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 22. Juni 2008 18:52

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '35' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <NEVER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ende des Suchlaufs: Sonntag, 22. Juni 2008 19:21
Benötigte Zeit: 28:34 min

Der Suchlauf wurde vollständig durchgeführt.

10193 Verzeichnisse wurden überprüft
337275 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
337275 Dateien ohne Befall
1738 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Bin sehr dankbar für jegliche Hilfestellung, wie ich jetzt vorgehen sollte.

Grüße!
Alex

undoreal · 23.06.2008, 09:26

Hallo.

Poste bitte ein frisches HJT log.

Caerbenogg · 23.06.2008, 09:50

Hallo Undoreal,

danke für die schnelle Antwort!

Hier das neue HJT Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:39:45, on 23.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Dokumente und Einstellungen\*******\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=h**p://w*w.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://w*w.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online
O2 - BHO: {c97d5531-bbb7-481a-d294-7d3e3beebef2} - {2febeeb3-e3d7-492d-a184-7bbb1355d79c} - C:\WINDOWS\system32\ywwcddbd.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BM77b9801b] Rundll32.exe "C:\WINDOWS\system32\wosyfdce.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177495041703
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB0879BF-83E7-418C-80C4-A7CC69DF8A50}: NameServer = 213.168.112.60 194.8.194.60
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero 7.2 Ultra\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7333 bytes

Gruß
Alex

BataAlexander · 23.06.2008, 10:04

seh grad erst das Du Malwarebytes schon hast laufen lassen.

Gehe wiefolgt vor

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O4 - HKLM\..\Run: [BM77b9801b] Rundll32.exe "C:\WINDOWS\system32\wosyfdce.dll",s

(file missing)dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.

Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\WINDOWS\system32\wosyfdce.dll

Dann starte den Rechner im normalen Modus neu.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

Ist die Datei zu groß, lade sie bei http://www.file-upload.net/ hoch und poste den Link.

Lucky · 23.06.2008, 10:34

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe

Ich finde diese Einträge komisch.

Caerbenogg · 23.06.2008, 11:34

Danke für die Hilfe BataAlexander!
Hab eben nochmal nen kompletten Scan laufen lassen.
Sag bitte kurz Bescheid, ob ich noch genauso vorgehen soll, wie Du es beschrieben hast.

Hier mal das aktuelle Malwarebytes Log:

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 881

12:24:11 23.06.2008
mbam-log-6-23-2008 (12-24-07).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 211115
Scan Dauer: 1 hour(s), 8 minute(s), 41 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM77b9801b (Trojan.Agent) -> No action taken.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
D:\Programme\QIP\unqip.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wosyfdce.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.

Danke & Gruß!
Alex

BataAlexander · 23.06.2008, 12:05

Du musst die Einträge nun auch entfernen lassen, sie wurden nur gefunden, nich gelöscht.

Caerbenogg · 23.06.2008, 13:40

So, hab jetzt alle gefundenen Einträge gelöscht. Sie befanden sich in Quarantäne. Kann ich jetzt, wie Du es beschrieben hast vorgehen?
Gruß...
Alex

BataAlexander · 23.06.2008, 13:43

Ja, allerdings nur noch mit dem Filelist. Die Datei ist bereits gelöscht worden.

Caerbenogg · 23.06.2008, 14:13

Ok, hier also die Filelist. Bin erst heute Abend wieder da.
Vielen Dank soweit für die Hilfe!

Verzeichnis von C:\

23.06.2008 14:33 1.610.612.736 pagefile.sys
22.06.2008 18:43 135 VundoFix.txt

Verzeichnis von C:\WINDOWS\system32

23.06.2008 14:35 352.186 vsconfig.xml
22.06.2008 18:33 548.760 CKQBaccf.ini
22.06.2008 17:00 99.328 ywwcddbd.dll
20.06.2008 21:39 99.328 pbkiyaak.dll
20.06.2008 21:39 90.624 kulsstbl.dll
20.06.2008 21:28 1.696.673 xoktfvuu.ini
20.06.2008 21:24 2.206 wpa.dbl
19.06.2008 14:29 107.888 CmdLineExt.dll
05.06.2008 01:25 4.212 zllictbl.dat

Verzeichnis von C:\WINDOWS\Prefetch

23.06.2008 14:57 0 FIND.EXE-0EC32F1E.pf
23.06.2008 14:57 10.696 CMD.EXE-087B4001.pf
23.06.2008 14:57 27.424 TASKMGR.EXE-20256C55.pf
23.06.2008 14:56 28.804 WINRAR.EXE-1A0EFB18.pf
23.06.2008 14:56 32.734 FILE-LIST 2.2.EXE-0C93BC42.pf
23.06.2008 14:51 30.768 UPDCLIENT.EXE-215FC96B.pf
23.06.2008 14:46 58.200 UEDIT32.EXE-21BEF393.pf
23.06.2008 14:46 25.360 WMIPRVSE.EXE-28F301A9.pf
23.06.2008 14:46 75.294 HIJACKTHIS.EXE-0EB91FF0.pf
23.06.2008 14:43 26.736 NVCOLOR.EXE-0F67EC09.pf
23.06.2008 14:43 58.870 NVCPLUI.EXE-315CED5C.pf
23.06.2008 14:43 35.084 RUNDLL32.EXE-2576181F.pf
23.06.2008 14:43 35.680 RUNDLL32.EXE-3339E860.pf
23.06.2008 14:41 29.730 UPNP.EXE-23E6E592.pf
23.06.2008 14:40 100.878 BITCOMET.EXE-1835A839.pf
23.06.2008 14:38 13.938 APPLEMOBILEDEVICESERVICE.EXE-0B00542D.pf
23.06.2008 14:37 84.210 MBAM.EXE-325FAE38.pf
23.06.2008 14:36 101.416 FIREFOX.EXE-1D57670A.pf
23.06.2008 14:35 15.058 ALG.EXE-0F138680.pf
23.06.2008 14:35 87.782 IPODSERVICE.EXE-233792DA.pf
23.06.2008 14:35 77.244 IMAPI.EXE-0BF740A4.pf
23.06.2008 14:35 28.074 RUNDLL32.EXE-35A483DA.pf
23.06.2008 14:34 29.356 AVWSC.EXE-2F6C3C95.pf
23.06.2008 14:34 6.938 WDFMGR.EXE-2CF4013B.pf
23.06.2008 14:34 23.516 NVSVC32.EXE-1F9EED18.pf
23.06.2008 14:34 36.190 SCHED.EXE-236A886F.pf
23.06.2008 14:34 24.404 VSMON.EXE-1609C098.pf
23.06.2008 14:34 49.516 AVGUARD.EXE-3490B18B.pf
23.06.2008 14:34 23.100 RUNDLL32.EXE-1857459C.pf
23.06.2008 14:33 31.544 ITUNESHELPER.EXE-1CC2818B.pf
23.06.2008 14:33 9.754 JUSCHED.EXE-273776BA.pf
23.06.2008 14:33 44.006 RUNDLL32.EXE-30908AFF.pf
23.06.2008 14:33 25.536 RUNDLL32.EXE-1340EF7F.pf
23.06.2008 14:33 29.334 CLEDX.EXE-1C372D66.pf
23.06.2008 14:33 43.190 AVGNT.EXE-36CA4640.pf
23.06.2008 14:33 9.382 RUNDLL32.EXE-16F0FDE6.pf
23.06.2008 14:33 11.524 NWIZ.EXE-2D0F9FBC.pf
23.06.2008 14:33 8.052 QTTASK.EXE-0C419446.pf
23.06.2008 14:33 64.558 ZLCLIENT.EXE-39DE6429.pf
23.06.2008 14:33 21.622 RUNDLL32.EXE-415F88EC.pf
23.06.2008 14:33 10.812 SPOOLSV.EXE-282F76A7.pf
23.06.2008 14:33 43.852 SVCHOST.EXE-3530F672.pf
23.06.2008 14:33 4.512 WINDSL_MTU.EXE-33AF0F13.pf
23.06.2008 14:33 29.922 LSASS.EXE-20DB6D1B.pf
23.06.2008 14:33 19.528 SERVICES.EXE-2F433351.pf
23.06.2008 14:33 69.170 WINLOGON.EXE-32C57D49.pf
23.06.2008 14:33 24.056 CSRSS.EXE-12B63473.pf
23.06.2008 14:33 58.164 SMSS.EXE-22F38377.pf
23.06.2008 14:33 1.538 AUTOCHK.EXE-2F8C59C3.pf
23.06.2008 14:20 12.410 SHUTDOWN.EXE-12DAD820.pf
23.06.2008 13:23 63.514 DFRGNTFS.EXE-269967DF.pf
23.06.2008 13:23 17.286 DEFRAG.EXE-273F131E.pf
23.06.2008 13:22 304.544 Layout.ini
23.06.2008 12:51 87.162 THUNDERBIRD.EXE-031A6371.pf
23.06.2008 12:49 35.512 RUNDLL32.EXE-307F764A.pf
23.06.2008 12:26 22.606 CTFMON.EXE-0E17969B.pf
23.06.2008 12:24 17.674 LOGONUI.EXE-0AF22957.pf
23.06.2008 12:24 15.364 REGEDIT.EXE-1B606482.pf
23.06.2008 12:23 72.712 WINAMP.EXE-08C38ED9.pf
23.06.2008 11:02 67.906 AVNOTIFY.EXE-22AE9451.pf
23.06.2008 11:02 54.410 UPDATE.EXE-13D57D76.pf
23.06.2008 11:01 18.268 PREUPD.EXE-358AA1C1.pf
23.06.2008 11:01 50.498 AVCENTER.EXE-37584419.pf
23.06.2008 10:59 90.090 IEXPLORE.EXE-2CA9778D.pf
23.06.2008 10:34 15.902 RUNDLL32.EXE-39939690.pf
22.06.2008 21:56 65.952 TVGENIAL.EXE-2DC14D7B.pf
22.06.2008 19:58 24.170 RUNDLL32.EXE-2A94BB85.pf
22.06.2008 19:58 25.468 RUNDLL32.EXE-2E5AF1D7.pf
22.06.2008 19:55 58.868 SPORECREATURECREATOR.EXE-38958508.pf
22.06.2008 19:43 15.216 RUNDLL32.EXE-451FC2C0.pf
22.06.2008 19:33 20.232 NOTEPAD.EXE-336351A9.pf
22.06.2008 18:52 54.932 AVSCAN.EXE-05AECC0E.pf
22.06.2008 18:40 35.010 GUARDGUI.EXE-1BD45C30.pf
22.06.2008 18:38 21.728 VUNDOFIX.EXE-0329C420.pf
22.06.2008 17:21 28.388 REGSVR32.EXE-25EEFE2F.pf
22.06.2008 17:21 26.658 MBAM-SETUP.TMP-36437B53.pf
22.06.2008 17:21 23.232 MBAM-SETUP.EXE-1B4023A9.pf
22.06.2008 17:03 19.706 RUNDLL32.EXE-3D43374D.pf
22.06.2008 17:00 21.486 RUNDLL32.EXE-3C158143.pf
22.06.2008 16:57 20.868 RUNDLL32.EXE-36BD5676.pf
22.06.2008 16:57 11.682 RUNDLL32.EXE-39D2A206.pf
22.06.2008 16:57 13.936 USERINIT.EXE-30B18140.pf
21.06.2008 17:06 91.466 EXPLORER.EXE-082F38A9.pf
21.06.2008 16:22 63.602 FIREFOX.EXE-17EE503B.pf
21.06.2008 15:57 104.050 ACROBAT.EXE-02E9AE67.pf
21.06.2008 15:52 68.068 QIP.EXE-122315D7.pf
20.06.2008 21:42 19.694 RUNDLL32.EXE-32CFD6A1.pf
20.06.2008 21:39 20.082 RUNDLL32.EXE-1F377D31.pf
20.06.2008 21:30 20.942 ADOBELM_CLEANUP.0001-370A28CA.pf
20.06.2008 21:30 17.408 ADOBELMSVC.EXE-0665217B.pf
20.06.2008 21:27 66.278 RUNDLL32.EXE-39A39A7D.pf
20.06.2008 21:25 6.080 RUNDLL32.EXE-2F408C05.pf
19.06.2008 16:23 27.012 RUNDLL32.EXE-12E27DD0.pf
19.06.2008 14:54 42.586 WUAUCLT.EXE-399A8E72.pf

Verzeichnis von C:\WINDOWS

23.06.2008 14:44 48.323 setupapi.log
23.06.2008 14:35 0 0.log
23.06.2008 14:33 54.156 QTFont.qfn
23.06.2008 14:33 2.048 bootstat.dat
23.06.2008 14:20 32.638 SchedLgU.Txt
23.06.2008 14:20 1.541.105 WindowsUpdate.log
23.06.2008 11:10 110.480 BM77b9801b.xml
23.06.2008 10:34 2.684 BM77b9801b.txt
23.06.2008 10:34 22 pskt.ini
13.06.2008 14:04 141.747 setupact.log
08.06.2008 14:29 1.409 QTFont.for

Verzeichnis von C:\WINDOWS\tasks

23.06.2008 14:33 6 SA.DAT
18.06.2008 21:08 276 AppleSoftwareUpdate.job
18.08.2001 14:00 65 desktop.ini

Verzeichnis von C:\WINDOWS\temp

23.06.2008 14:34 256 ZLT054ae.TMP
23.06.2008 14:34 256 ZLT05be0.TMP
23.06.2008 12:26 256 ZLT072bd.TMP
23.06.2008 12:26 256 ZLT072b6.TMP
22.06.2008 18:35 256 ZLT03eb5.TMP
22.06.2008 18:35 256 ZLT03ea8.TMP
22.06.2008 18:23 256 ZLT035a3.TMP
22.06.2008 18:23 256 ZLT0359d.TMP
21.06.2008 17:07 256 ZLT02d9e.TMP
21.06.2008 17:07 256 ZLT02d91.TMP
21.06.2008 16:27 256 ZLT00e5a.TMP
21.06.2008 16:26 256 ZLT00e4d.TMP
21.06.2008 15:40 256 ZLT06b01.TMP
21.06.2008 15:40 256 ZLT06afe.TMP
20.06.2008 21:26 256 ZLT02545.TMP
20.06.2008 21:26 256 ZLT0253e.TMP
19.06.2008 16:15 256 ZLT0699e.TMP
19.06.2008 16:15 256 ZLT0699a.TMP
19.06.2008 14:52 256 ZLT02a10.TMP
19.06.2008 14:52 256 ZLT02a03.TMP
19.06.2008 14:51 0 etilqs_KdJNuT3mdrYG57B
19.06.2008 12:02 256 ZLT0274a.TMP
19.06.2008 12:02 256 ZLT02743.TMP
19.06.2008 09:11 256 ZLT024d8.TMP
19.06.2008 09:11 256 ZLT024d5.TMP
18.06.2008 14:30 256 ZLT04b1b.TMP
18.06.2008 14:30 256 ZLT04b15.TMP
18.06.2008 01:51 7.168 etilqs_EvLyhMuO5IsLfld
18.06.2008 01:51 0 etilqs_klJj3bWZCA0gbHt-journal
18.06.2008 01:51 1.028 etilqs_hweUWfKtokNWL6f
17.06.2008 13:13 256 ZLT0417e.TMP
17.06.2008 13:13 256 ZLT0417a.TMP
17.06.2008 00:24 256 ZLT074ec.TMP
17.06.2008 00:24 256 ZLT074e5.TMP
16.06.2008 13:16 256 ZLT075a1.TMP
16.06.2008 13:16 256 ZLT0759a.TMP
15.06.2008 20:25 256 ZLT0793c.TMP
15.06.2008 20:25 256 ZLT07005.TMP
15.06.2008 13:29 256 ZLT031e1.TMP
15.06.2008 13:29 256 ZLT031db.TMP
14.06.2008 17:16 256 ZLT01172.TMP
14.06.2008 17:16 256 ZLT0116f.TMP
13.06.2008 21:16 256 ZLT07aea.TMP
13.06.2008 21:16 256 ZLT07ae0.TMP
13.06.2008 20:03 256 ZLT042c6.TMP
13.06.2008 20:03 256 ZLT042bc.TMP
13.06.2008 16:27 256 ZLT01dbc.TMP
13.06.2008 16:27 256 ZLT01db5.TMP
13.06.2008 13:45 256 ZLT021b8.TMP
13.06.2008 13:45 256 ZLT021b1.TMP
12.06.2008 23:44 256 ZLT01dda.TMP
12.06.2008 23:44 256 ZLT01dd3.TMP
12.06.2008 13:16 256 ZLT03d54.TMP
12.06.2008 13:16 256 ZLT03d4d.TMP
11.06.2008 22:30 256 ZLT0178a.TMP
11.06.2008 22:30 256 ZLT01784.TMP
11.06.2008 13:11 256 ZLT06b88.TMP
11.06.2008 13:11 256 ZLT06b82.TMP
10.06.2008 23:07 256 ZLT06586.TMP
10.06.2008 23:07 256 ZLT06582.TMP
10.06.2008 12:36 256 ZLT0029c.TMP
10.06.2008 12:36 256 ZLT00293.TMP
10.06.2008 00:04 256 ZLT042c9.TMP
10.06.2008 00:04 256 ZLT042c2.TMP
09.06.2008 19:58 256 ZLT0066d.TMP
09.06.2008 19:58 256 ZLT00664.TMP
09.06.2008 13:29 0 etilqs_4RLNtMUtCZZr7sn
09.06.2008 11:29 256 ZLT0013d.TMP
09.06.2008 11:29 256 ZLT00136.TMP
08.06.2008 19:19 256 ZLT05ad9.TMP
08.06.2008 19:19 256 ZLT01a75.TMP
08.06.2008 13:56 256 ZLT02390.TMP
08.06.2008 13:56 256 ZLT02389.TMP
07.06.2008 02:32 1.028 etilqs_UabI8rHHvcJCwhv
07.06.2008 02:32 0 etilqs_h7VXZV3jmFdCFyp-journal
07.06.2008 02:32 7.168 etilqs_JjV70OBhwt8ZVfx
06.06.2008 19:53 256 ZLT01803.TMP
06.06.2008 19:52 256 ZLT017f6.TMP
06.06.2008 14:12 256 ZLT013c2.TMP
06.06.2008 14:12 256 ZLT013b8.TMP
06.06.2008 01:32 256 ZLT04dab.TMP
06.06.2008 01:32 256 ZLT04da5.TMP
05.06.2008 18:43 256 ZLT01474.TMP
05.06.2008 18:43 256 ZLT0146e.TMP
05.06.2008 17:17 0 etilqs_ZrgCcaaU6luhnBo-journal
05.06.2008 17:17 7.168 etilqs_LMXaX7KGjQUY8In
05.06.2008 17:17 1.028 etilqs_fGhgVy3zZ6PFeFv
05.06.2008 13:36 256 ZLT029e2.TMP
05.06.2008 13:36 256 ZLT029d8.TMP
05.06.2008 01:05 256 ZLT06ae2.TMP
05.06.2008 01:05 256 ZLT06adc.TMP
04.06.2008 14:53 256 ZLT016dc.TMP
04.06.2008 14:53 256 ZLT016d6.TMP
04.06.2008 12:39 256 ZLT03019.TMP
04.06.2008 12:39 256 ZLT0300f.TMP
03.06.2008 21:22 256 ZLT0725e.TMP
03.06.2008 21:22 256 ZLT07257.TMP
03.06.2008 16:12 256 ZLT004d2.TMP
03.06.2008 16:12 256 ZLT004cc.TMP
03.06.2008 14:08 256 ZLT025ac.TMP
03.06.2008 14:08 256 ZLT025a3.TMP
02.06.2008 22:27 256 ZLT0560f.TMP
02.06.2008 22:27 256 ZLT0560c.TMP
02.06.2008 11:13 256 ZLT05206.TMP
02.06.2008 11:13 256 ZLT05202.TMP
01.06.2008 20:48 256 ZLT03c0a.TMP
01.06.2008 20:48 256 ZLT03c01.TMP
31.05.2008 14:11 256 ZLT03d7e.TMP
31.05.2008 14:11 256 ZLT03d75.TMP
30.05.2008 20:16 256 ZLT006c6.TMP
30.05.2008 20:16 256 ZLT01aa2.TMP
30.05.2008 13:24 256 ZLT05399.TMP
30.05.2008 13:24 256 ZLT04b67.TMP
29.05.2008 22:07 256 ZLT01de7.TMP
29.05.2008 22:07 256 ZLT00d9f.TMP
29.05.2008 15:12 256 ZLT05001.TMP
29.05.2008 15:12 256 ZLT04ffb.TMP
29.05.2008 03:19 256 ZLT02eec.TMP
29.05.2008 03:19 256 ZLT02ee2.TMP
28.05.2008 18:03 256 ZLT0053f.TMP
28.05.2008 18:03 256 ZLT00532.TMP
28.05.2008 09:52 256 ZLT0699b.TMP
28.05.2008 09:52 256 ZLT00d1b.TMP
28.05.2008 01:29 256 ZLT00c3d.TMP
28.05.2008 01:29 256 ZLT00c34.TMP
27.05.2008 12:50 256 ZLT0470b.TMP
27.05.2008 12:50 256 ZLT04705.TMP
26.05.2008 18:22 256 ZLT07789.TMP
26.05.2008 18:22 256 ZLT07780.TMP
26.05.2008 15:18 256 ZLT00ecb.TMP
26.05.2008 15:18 256 ZLT06a50.TMP
26.05.2008 11:48 256 ZLT04a08.TMP
26.05.2008 11:48 256 ZLT03734.TMP
25.05.2008 20:03 256 ZLT0769e.TMP
25.05.2008 20:03 256 ZLT0769b.TMP
25.05.2008 04:47 256 ZLT0394f.TMP
25.05.2008 04:47 256 ZLT03945.TMP
24.05.2008 13:33 256 ZLT07de0.TMP
24.05.2008 13:33 256 ZLT07dd6.TMP
24.05.2008 04:08 0 etilqs_gogfksEapTMXxFR-journal
24.05.2008 04:08 1.028 etilqs_5Glde1BhH8aa5Gj
24.05.2008 04:08 7.168 etilqs_9ZNJEBzUPjHmino
23.05.2008 22:51 256 ZLT05b20.TMP
23.05.2008 22:51 256 ZLT05b19.TMP
23.05.2008 15:42 0 etilqs_VPfU0WZYnuHPEg1-journal
23.05.2008 15:42 1.028 etilqs_mXVL21hPHW8RotB
23.05.2008 15:42 7.168 etilqs_adzNNR5OFCXz2Yj
23.05.2008 13:15 256 ZLT02188.TMP
23.05.2008 00:55 256 ZLT06bb5.TMP
23.05.2008 00:55 256 ZLT06bae.TMP
22.05.2008 23:35 256 ZLT041c7.TMP
22.05.2008 23:35 256 ZLT02df1.TMP
22.05.2008 16:37 256 ZLT06e90.TMP
22.05.2008 16:37 256 ZLT06e8d.TMP
22.05.2008 11:54 256 ZLT01621.TMP
22.05.2008 11:54 256 ZLT0161b.TMP

Verzeichnis von C:\DOKUME~1\*******\LOKALE~1\Temp

23.06.2008 14:57 231.971 filelist.txt
23.06.2008 14:35 16.384 ~DFEA16.tmp
23.06.2008 12:30 152.070 jusched.log
23.06.2008 12:27 16.384 ~DFC8E.tmp
23.06.2008 11:11 22.287 b120x90.tmp
23.06.2008 11:11 22.287 b125x125.tmp
23.06.2008 11:11 22.287 b160x600.tmp
23.06.2008 11:11 22.287 b180x150.tmp
23.06.2008 11:11 22.287 b728x90.tmp
23.06.2008 11:11 22.287 b240x400.tmp
23.06.2008 11:11 22.287 b250x250.tmp
23.06.2008 11:11 22.287 b300x100.tmp
23.06.2008 11:11 22.287 b300x250.tmp
23.06.2008 11:11 22.287 b336x280.tmp
23.06.2008 11:11 22.287 b468x60.tmp
23.06.2008 11:11 22.287 b720x300.tmp
23.06.2008 11:11 22.287 b120x600.tmp
23.06.2008 11:11 22.287 b120x240.tmp
23.06.2008 10:35 16.384 ~DFB87E.tmp
22.06.2008 18:36 16.384 ~DFD159.tmp
22.06.2008 18:23 16.384 ~DFE596.tmp
22.06.2008 17:26 22.287 b234x60.tmp
21.06.2008 17:08 16.384 ~DFB70F.tmp
21.06.2008 16:27 16.384 ~DFB856.tmp
21.06.2008 15:41 16.384 ~DFD79D.tmp
20.06.2008 21:29 59.964 Adobelm_Cleanup.0001
20.06.2008 21:27 16.384 ~DFC8FE.tmp
19.06.2008 16:16 16.384 ~DFBD54.tmp
19.06.2008 14:55 43 removalfile.bat
19.06.2008 14:54 208.896 drm_dyndata_7360012.dll
19.06.2008 14:53 16.384 ~DF22DE.tmp
19.06.2008 12:02 16.384 ~DFA397.tmp
19.06.2008 09:12 16.384 ~DFA848.tmp
18.06.2008 14:31 16.384 ~DF66A6.tmp
18.06.2008 01:17 0 fla438.tmp
18.06.2008 01:16 0 fla437.tmp
18.06.2008 01:13 16.384 ~DFFF8B.tmp
18.06.2008 01:09 0 fla42C.tmp
17.06.2008 13:13 16.384 ~DFB944.tmp
17.06.2008 01:53 16.384 ~DF12EE.tmp
17.06.2008 00:24 16.384 ~DFB686.tmp
16.06.2008 13:16 16.384 ~DFD684.tmp
15.06.2008 23:06 109.056 uninst2.exe
15.06.2008 22:20 0 6pn3E.tmp
15.06.2008 22:18 0 mde3C.tmp
15.06.2008 20:25 16.384 ~DFAD65.tmp
15.06.2008 13:30 16.384 ~DFB76A.tmp
14.06.2008 17:17 16.384 ~DFB18C.tmp
13.06.2008 21:17 16.384 ~DFB383.tmp
13.06.2008 20:03 16.384 ~DFE0CE.tmp
13.06.2008 16:28 16.384 ~DF10C1.tmp
13.06.2008 13:46 16.384 ~DFC17E.tmp
13.06.2008 02:13 16.384 ~DFAD78.tmp
12.06.2008 23:44 16.384 ~DFB0E2.tmp
12.06.2008 15:56 16.384 ~DFEBB8.tmp
12.06.2008 13:16 16.384 ~DFA96F.tmp
11.06.2008 22:31 16.384 ~DFCEF0.tmp
11.06.2008 18:33 16.384 ~DFB47F.tmp
11.06.2008 13:12 16.384 ~DFA4C1.tmp
10.06.2008 23:08 16.384 ~DFAA75.tmp
10.06.2008 12:37 16.384 ~DFA6FB.tmp
10.06.2008 00:04 16.384 ~DFA9B4.tmp
09.06.2008 19:58 16.384 ~DFD607.tmp
09.06.2008 11:30 16.384 ~DF6DBA.tmp
08.06.2008 19:19 16.384 ~DF9624.tmp
08.06.2008 14:32 2.560 qtplugin.log
08.06.2008 14:28 889 GEARInstall.log
08.06.2008 14:27 2.143 QTInstallCode.log
08.06.2008 13:57 16.384 ~DF7323.tmp
08.06.2008 13:03 16.384 ~DF9759.tmp
07.06.2008 17:15 16.384 ~DF7DD9.tmp
06.06.2008 19:53 16.384 ~DFC304.tmp
06.06.2008 14:13 16.384 ~DF770F.tmp

BataAlexander · 23.06.2008, 20:17

COLOR="Blue"]Datei Upload für die weiter Prüfung[/COLOR]

Lade die Datei

Zitat:

C:\WINDOWS\system32\CKQBaccf.ini
C:\WINDOWS\system32\ywwcddbd.dll
C:\WINDOWS\system32\pbkiyaak.dll
C:\WINDOWS\system32\kulsstbl.dll
C:\WINDOWS\system32\xoktfvuu.ini
C:\WINDOWS\BM77b9801b.xml
C:\WINDOWS\BM77b9801b.txt
C:\WINDOWS\pskt.ini

bitte hier hoch.

Füge Deinen Thread Link ein, dass ist

http://www.trojaner-board.de/54534-t...00-befall.html

und trage Deinen Benutzernamen ein. Du wirst drei Durchgänge brauchen, da Du immer nur drei Datein hochladen kannst.

Dann lösche bitte die folgendene Dateien

Zitat:

C:\WINDOWS\system32\CKQBaccf.ini
C:\WINDOWS\system32\ywwcddbd.dll
C:\WINDOWS\system32\pbkiyaak.dll
C:\WINDOWS\system32\kulsstbl.dll
C:\WINDOWS\system32\xoktfvuu.ini
C:\WINDOWS\BM77b9801b.xml
C:\WINDOWS\BM77b9801b.txt
C:\WINDOWS\pskt.ini

Wenn Du einige nicht findest, stell Deinen Rechner ein, wie hier beschrieben.
Wenn Du einige Dateien nicht löschen kannst, wechsele in den abgesicherten Modus und versuche sie dann zu löschen.

Führe bitte folgendes aus.

ATF - The Cleaner

- Lade ATF - The Cleaner
- Doppelklicke die ATF-CLeaner.exe um das Programm zu starten
- Unter Main, wähle alle
- Klicke den Empty selected Button
- Wenn Du Firefox benutzt, klicke den Firefox Button und wähle alle
- Drücke den Empty Selected Button
Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt
- Wenn Du Opera benutzt, klicke Opera und wähle alle
- Drücke den Empty Selected Button
Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt
- Klicke Exit im Main Menü um das Programm zu schließen

Dann wende Malwarebytes an und poste das Log hier.

Dann poste bitte ein neues, editiertes Logfile.

Caerbenogg · 24.06.2008, 13:13

Hi,

ich habe nun alle aufgeführten Dateien gelöscht, ATF Cleaner ausgeführt und nochmal nen Scan laufen lassen.
Hier das Log:

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 881

13:45:45 24.06.2008
mbam-log-6-24-2008 (13-45-45).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 202684
Scan Dauer: 1 hour(s), 5 minute(s), 13 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Hijackthis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:59:08, on 24.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\********\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=h**p://w*w.t-online.de]Nachrichten - Service - Shopping bei t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=h**p://w*w.t-online.de]Nachrichten - Service - Shopping bei t-online.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online
O2 - BHO: {c97d5531-bbb7-481a-d294-7d3e3beebef2} - {2febeeb3-e3d7-492d-a184-7bbb1355d79c} - C:\WINDOWS\system32\ywwcddbd.dll (file missing)
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177495041703
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB0879BF-83E7-418C-80C4-A7CC69DF8A50}: NameServer = 213.168.112.60 194.8.194.60
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero 7.2 Ultra\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7523 bytes

Jetzt erhielt ich von AntiVir ne neue Meldung: TR/Trash.Gen
Also noch ein dritter Trojaner? Ich brech hier ab.

Der Vundo scheint aber jetzt bekämpft zu sein oder? Danke schonmal dafür!

Gruß!
Alex

BataAlexander · 24.06.2008, 13:17

Das System nun mit Avira (vorher updaten und wie hier beschrieben einstellen) scannen.
Den Scanbericht hier posten, es kann durchaus sein das noch Kopien in der Systemwiederherstellung zu finden sind.
Nach dem scannen, setzte die Einstellungen (Heuistik) wieder zurück sie sind nicht ganz alltagstauglich.

Caerbenogg · 24.06.2008, 15:24

Oops, da wurde aber einiges gefunden. Das meiste sind aber wohl
E-Mails, die im Papierkorb meines zweiten E-Mail-Kontos liegen.
Das hoffe ich zumindest. Ich erhielt drei Viren-Meldungen während des Scans:

TR/Spy.ZBot.cod
TR/Monder.ZI
TR/Trash.Gen

Hier der Link zum AntiVir Scan-Bericht (war zu lang):

File-Upload.net - Scan.txt

Grüße!
Alex

Caerbenogg · 24.06.2008, 15:29

Hm, der Upload des Scan-Berichts funktioniert nicht.
Die hochgeladene Datei ist immer leer. Wie machen wir das jetzt?

23.06.2008, 09:26	#2
undoreal /// AVZ-Toolkit Guru	TR/Vundo.Gen und TR/Agent25600 Befall! Hallo. Poste bitte ein frisches HJT log. __________________ __________________

23.06.2008, 10:34	#5
Lucky /// Helfer-Team	TR/Vundo.Gen und TR/Agent25600 Befall! O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe Ich finde diese Einträge komisch. __________________ Kein Support per PM!

23.06.2008, 12:05	#7
BataAlexander > MalwareDB	TR/Vundo.Gen und TR/Agent25600 Befall! Du musst die Einträge nun auch entfernen lassen, sie wurden nur gefunden, nich gelöscht. __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

23.06.2008, 13:43	#9
BataAlexander > MalwareDB	TR/Vundo.Gen und TR/Agent25600 Befall! Ja, allerdings nur noch mit dem Filelist. Die Datei ist bereits gelöscht worden. __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

TR/Vundo.Gen und TR/Agent25600 Befall!

Plagegeister aller Art und deren Bekämpfung: TR/Vundo.Gen und TR/Agent25600 Befall!