| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Extrem Wiederspänstiger Vundo/GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.06.2008, 11:46
| #1 |
| |  Extrem Wiederspänstiger Vundo/Gen Hallo, da dies mein erstes Post ist, hoffe ich nicht alt so viele Fehler zu machen. Ich habe mir vor ein paar tagen den Trojaner Vundo eingefangen (per mail) Symptome: Gelegentliche Werbung Der Rechner "lahmt" ein Wenig Antivier Spielt total verrücke, ständige Meldungen wegen des Trojaners. Bekannte befallene Dateien, allesamt unter system32 vtUomnNh.dll << das war die erste cdxQKcsJ.dll dbqahyny.dll iifdeCUn.dll mgiihih.dll ggxegqso.dll Versucht wurde: Löschen ;-) Löschen mittels Unlock *geht nicht da verwendet von winlogon und explorer Beenden der header mittels ProcessExplorer *geht nicht, da nach dem beendern der header die dati (vtUomnNh.dll) immer noch verwendet wurde Verwenden der Programmen : FixVundo/VndoFix/VirtumundoBeGone/ComboFix / vollständigem antivir suchlauf sowie diverser anti Rootkit software Des weiteren : Antivir boot CD >> hat alles mögliche gelöscht nur nicht den vundo Start von DSL/Knoppix und ähnlichen Linux Varianten (für manuelles löschen). Dabei finden diese entweder meine sata Festplatte nicht, oder aber sie starten erst gar nicht (Fehler: can´t find knoppix fiel system) Boot mit DOS erkennt aber auch keine Festplatte Nachdem ich das alles versucht habe bin ich am ende Hier meine HijackThis und filelist logfieles, ich hoffe jemand kann mir helfen. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:54:48, on 23.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\Pen_Tablet.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe C:\WINDOWS\system32\Pen_Tablet.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\REVOLTEC\FightBoard Advanced 1.00\FightBoard.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\GIGABYTE\I-Cool\icool.exe C:\Programme\RocketDock\RocketDock.exe C:\Yodm3D.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\OO Software\DriveLED\oodled.exe C:\Programme\girder\Girder.exe C:\Dokumente und Einstellungen\Administrator\Desktop\mousometer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\IEPro\MiniDM.exe C:\Programme\Microsoft Office\Office12\WINWORD.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xx.google.de/ig?hl=de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xx://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xx://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xx://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xx://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = xx://www.nvidia.com/content/drivers/redirect.asp?language=DEU&page=sysutility R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [FightBoard] C:\Programme\REVOLTEC\FightBoard Advanced 1.00\FightBoard.exe -1 O4 - HKLM\..\Run: [ICOOL] "C:\Programme\GIGABYTE\I-Cool\run.exe" HIDE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [Yodm3D] C:\Yodm3D.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKCU\..\Run: [DriveLED] C:\Programme\OO Software\DriveLED\oodled.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Girder3.lnk = C:\Programme\girder\Girder.exe O4 - Startup: Mousometer.lnk = C:\Dokumente und Einstellungen\Administrator\Desktop\mousometer.exe O4 - Global Startup: Windows Desktop Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - xx://towercam.intershop.de/index.htm O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - xx://download.gigabyte.com.tw/object/Dldrv.ocx O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - hxx://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - hxx://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxx://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188336603859 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - hxx://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - hxx://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - hxx://sdlc-esd.sun.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?AuthParam=1209311225_da701c6a7e2a4374484168110b1b94f6&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - htxx://www.adobe.com/products/acrobat/nos/gp.cab O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.12) - hxx://service.futuremark.com/virtualmark/tc/MSC3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7AB6B54B-E3D8-48BA-BD7F-AE335D918693}: NameServer = 82.144.41.8 62.220.18.8 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- |
|
23.06.2008, 11:49
| #2 |
| | Extrem Wiederspänstiger Vundo/Gen Der Doppelpost tut mir leiht, aber das filelist logfiel hat aufgrund der 2500 Zeichen Beschränkung nicht mehr mit reingepasst.
__________________filelist: Code:
ATTFilter Verzeichnis von C:\ 23.06.2008 11:39 3.476 desktopicon.ini 23.06.2008 11:39 1.770 Yodm3D.ini 22.06.2008 21:02 483 boot.ini 22.06.2008 20:53 2.266 VundoFix.txt 21.06.2008 17:00 30.882 ComboFix.txt 29.05.2008 11:44 10 csb.log 28.05.2008 10:08 2.145.824.768 pagefile.sys 22.05.2008 13:09 55 $DRVLTR$ 22.05.2008 13:09 8.192 BOOTSECT.BAK 22.05.2008 13:00 0 $bootdrive$ 22.05.2008 13:00 0 $lsdrive$ ----- System32 Verzeichnis von C:\WINDOWS\system32 23.06.2008 11:58 562.017 nUCedfii.ini 23.06.2008 11:57 562.017 nUCedfii.ini2 23.06.2008 11:43 2.206 wpa.dbl 23.06.2008 11:42 132.696 OODBS.lor 22.06.2008 20:53 24.576 VundoFixSVC.exe 22.06.2008 14:51 1.696.681 klikiigm.ini 22.06.2008 14:50 0 mcrh.tmp 22.06.2008 14:48 86.528 mgiikilk.dll 22.06.2008 14:46 0 clkcnt.txt 22.06.2008 14:46 1.696.561 cslnkfyc.ini 21.06.2008 17:08 285.184 iifdeCUn.dll 21.06.2008 11:38 34 1214041125.(null) 20.06.2008 10:40 177.046 nvapps.xml 07.06.2008 09:29 4 GVTunner.ref 06.06.2008 10:21 355.584 TuneUpDefragService.exe 31.05.2008 01:23 8.523 dpude.qm 31.05.2008 01:22 53.248 dpuGUI10.dll 31.05.2008 01:22 593.920 dpuGUI11.dll 31.05.2008 01:22 294.912 dpu10.dll 31.05.2008 01:22 344.064 dpus11.dll 31.05.2008 01:22 294.912 dpu11.dll 31.05.2008 01:22 57.344 dpv11.dll 31.05.2008 01:22 823.296 divx_xx0c.dll 31.05.2008 01:22 823.296 divx_xx07.dll 31.05.2008 01:22 802.816 divx_xx11.dll 31.05.2008 01:22 683.520 DivX.dll 31.05.2008 01:22 815.104 divx_xx0a.dll 31.05.2008 01:22 630.784 divxdec.ax 30.05.2008 01:35 17.486.968 MRT.exe 28.05.2008 10:08 290.888 FNTCACHE.DAT 25.05.2008 18:04 452.758 perfh007.dat 25.05.2008 18:04 435.896 perfh009.dat 25.05.2008 18:04 81.478 perfc007.dat 25.05.2008 18:04 68.540 perfc009.dat 25.05.2008 18:04 1.052.974 PerfStringBackup.INI 25.05.2008 01:09 4.556 LOCALSERVICE.INI 24.05.2008 19:10 205 REMOTEDEVICE.INI 24.05.2008 19:10 991 bscs.ini 24.05.2008 19:10 102 LOCALDEVICE.INI 23.05.2008 00:22 524.288 DivXsm.exe 23.05.2008 00:22 4.816 divxsm.tlb 23.05.2008 00:22 10.152 dsm_de.qm 23.05.2008 00:22 3.596.288 qt-dx331.dll 23.05.2008 00:20 1.044.480 libdivx.dll 23.05.2008 00:20 200.704 ssldivx.dll 23.05.2008 00:19 196.608 dtu100.dll 23.05.2008 00:19 416 dpl100.dll.manifest 23.05.2008 00:19 416 dtu100.dll.manifest 23.05.2008 00:19 81.920 dpl100.dll 23.05.2008 00:19 3.051 dtu_de.qm 23.05.2008 00:19 352.401 DivXMedia.ax 23.05.2008 00:19 161.096 DivXCodecVersionChecker.exe 23.05.2008 00:18 12.288 DivXWMPExtType.dll ----- Prefetch ------------------------- Verzeichnis von C:\WINDOWS\Prefetch 23.06.2008 11:58 48.326 MINIDM.EXE-13C44006.pf 23.06.2008 11:55 30.028 AVWSC.EXE-2F6C3C95.pf 23.06.2008 11:54 28.148 NOTEPAD.EXE-336351A9.pf 23.06.2008 11:54 34.014 WMIPRVSE.EXE-28F301A9.pf 23.06.2008 11:52 16.260 VERCLSID.EXE-3667BD89.pf 23.06.2008 11:52 106.130 WINWORD.EXE-0B995611.pf 23.06.2008 11:45 51.532 DRWTSN32.EXE-2B4B52AC.pf 23.06.2008 11:45 109.040 IEXPLORE.EXE-2CA9778D.pf 23.06.2008 11:44 40.002 TASKMGR.EXE-20256C55.pf 23.06.2008 11:44 32.016 OPTIONSAPP.EXE-0A6527F8.pf 23.06.2008 11:44 22.236 GUARDGUI.EXE-1BD45C30.pf 23.06.2008 11:44 38.898 GIRDER.EXE-139B600D.pf 23.06.2008 11:44 27.694 WINDOWSSEARCH.EXE-2B3C04CE.pf 23.06.2008 11:44 19.044 WDS_SL.EXE-39D8C971.pf 23.06.2008 11:44 26.430 MOUSOMETER.EXE-05F07FCF.pf 23.06.2008 11:44 19.324 OODLED.EXE-38E9503D.pf 23.06.2008 11:44 36.436 NTUNECMD.EXE-01ADA1AA.pf 23.06.2008 11:44 60.286 YODM3D.EXE-160C2EC8.pf 23.06.2008 11:44 27.554 ICOOL.EXE-28B37792.pf 23.06.2008 11:44 8.570 QTTASK.EXE-2D7EEF34.pf 23.06.2008 11:39 22.764 PEN_TABLET.EXE-103B76A7.pf 23.06.2008 11:37 18.016 IMAPI.EXE-0BF740A4.pf 23.06.2008 11:37 13.938 RUNDLL32.EXE-451FC2C0.pf 23.06.2008 11:32 40.066 WINDOWSSEARCHFILTER.EXE-1836FBC3.pf 23.06.2008 11:07 18.970 SVCHOST.EXE-3530F672.pf 23.06.2008 11:05 73.324 WINDOWSSEARCHINDEXER.EXE-23D0FAED.pf 23.06.2008 10:25 84.282 WINRAR.EXE-3588DFE8.pf 23.06.2008 09:43 67.458 ACRORD32.EXE-153330F0.pf 22.06.2008 21:55 43.246 WGATRAY.EXE-0ED38BED.pf 22.06.2008 21:37 74.978 AVNOTIFY.EXE-22AE9451.pf 22.06.2008 20:50 25.902 REGEDIT.EXE-1B606482.pf 22.06.2008 18:01 66.498 UPDATE.EXE-13D57D76.pf 22.06.2008 18:00 17.850 PREUPD.EXE-358AA1C1.pf 22.06.2008 15:42 32.978 TU_LOGONUI.EXE-13678975.pf 22.06.2008 14:50 68.530 ADOBEUPDATER.EXE-370FC314.pf 22.06.2008 14:50 52.482 MSFEEDSSYNC.EXE-25E13438.pf 21.06.2008 18:00 20.048 ONECLICKSTARTER.EXE-209CBCDD.pf 21.06.2008 17:13 56.260 WMIAPSRV.EXE-1E2270A5.pf 21.06.2008 17:09 84.904 WUAUCLT.EXE-399A8E72.pf 21.06.2008 16:37 18.966 SNDVOL32.EXE-383480B7.pf 21.06.2008 14:13 11.190 ALCMTR.EXE-235F9538.pf 21.06.2008 12:55 44.994 NMIndexStoreSvr.exe-1DBCF9FD.pf 21.06.2008 12:55 21.338 NMBGMONITOR.EXE-0BC10095.pf 21.06.2008 10:49 79.262 WMPLAYER.EXE-09969332.pf 20.06.2008 10:48 13.358 RUNDLL32.EXE-268BFF96.pf 20.06.2008 10:40 64.314 NVCPLUI.EXE-315CED5C.pf 19.06.2008 23:30 92.330 VLC.EXE-0391A86E.pf 19.06.2008 19:58 56.346 SHOWTIME.EXE-1713ECDC.pf 19.06.2008 18:49 82.532 ICQ.EXE-3425F561.pf 19.06.2008 13:54 48.120 RUNDLL32.EXE-33732DCD.pf 19.06.2008 11:35 81.078 EXCEL.EXE-3AB61D88.pf 18.06.2008 10:51 21.130 DRIVESPEED.EXE-33A82D25.pf 17.06.2008 18:01 67.202 OBLIVION.EXE-11197BED.pf 16.06.2008 20:01 100.694 ACRORD32INFO.EXE-19D979CC.pf 16.06.2008 13:58 29.656 RUNDLL32.EXE-478014C7.pf 16.06.2008 13:58 29.850 RUNDLL32.EXE-15D95F13.pf 16.06.2008 13:58 29.656 RUNDLL32.EXE-15161C0F.pf 16.06.2008 13:58 29.754 RUNDLL32.EXE-312A4005.pf 16.06.2008 13:57 29.794 RUNDLL32.EXE-146437AF.pf 16.06.2008 13:56 28.652 KEEPASS.EXE-11B60CDF.pf 16.06.2008 13:55 30.368 RUNDLL32.EXE-37C8CDC2.pf 16.06.2008 13:44 29.914 RUNDLL32.EXE-1C3E2814.pf 16.06.2008 13:36 35.806 RUNDLL32.EXE-13175F52.pf 16.06.2008 13:36 23.682 WINMZR.EXE-3668E126.pf 16.06.2008 09:13 34.036 RUNDLL32.EXE-3E3A810D.pf 16.06.2008 09:01 29.832 RUNDLL32.EXE-12E4212E.pf 16.06.2008 08:55 29.686 RUNDLL32.EXE-262FA4BA.pf 15.06.2008 22:39 22.118 KEEPASS.EXE-23BE169F.pf 15.06.2008 22:39 22.064 KEEPASS.EXE-1FE8EF2B.pf 15.06.2008 22:32 57.008 RUNDLL32.EXE-4A8A6EF4.pf 15.06.2008 22:32 22.484 KEEPASS.EXE-35229DBD.pf 15.06.2008 22:23 57.020 RUNDLL32.EXE-2C3ECF88.pf 15.06.2008 22:21 57.020 RUNDLL32.EXE-192CA650.pf 15.06.2008 22:19 53.164 MSHTA.EXE-331DF029.pf 15.06.2008 22:19 16.494 RUNDLL32.EXE-19F507BE.pf 15.06.2008 22:12 57.106 RUNDLL32.EXE-1CF43AB1.pf 15.06.2008 21:35 57.008 RUNDLL32.EXE-38B3F8E4.pf 15.06.2008 20:47 56.996 RUNDLL32.EXE-373B7BAD.pf 15.06.2008 20:40 57.122 RUNDLL32.EXE-3AED9E06.pf 15.06.2008 20:38 15.866 WINHLP32.EXE-2C18E975.pf 15.06.2008 20:38 15.516 PCONOFFTIME.EXE-19D67E8E.pf 15.06.2008 20:35 13.580 TRUECRYPT.EXE-308DBAA5.pf 15.06.2008 18:45 56.506 RUNDLL32.EXE-3534A556.pf 15.06.2008 17:01 57.102 RUNDLL32.EXE-198216EE.pf 15.06.2008 16:44 40.302 AVEDESK.EXE-1B8308E5.pf 15.06.2008 16:37 14.592 SNIPPINGTOOL.EXE-2F8BF228.pf 15.06.2008 16:33 29.288 WINMZR3-5-0_SETUP.EXE-1C3CC840.pf 15.06.2008 16:19 56.566 RUNDLL32.EXE-2803AD59.pf 15.06.2008 16:08 24.410 RUNDLL32.EXE-4188F50A.pf 15.06.2008 15:35 23.716 RUNDLL32.EXE-3F6FDD03.pf 15.06.2008 15:12 56.558 RUNDLL32.EXE-3E4D5811.pf 15.06.2008 14:52 27.906 RUNDLL32.EXE-1557674B.pf 15.06.2008 14:29 23.218 RUNDLL32.EXE-2A3DBB78.pf 15.06.2008 14:29 23.370 RUNDLL32.EXE-170800C8.pf 15.06.2008 14:28 22.442 RUNDLL32.EXE-4718532B.pf 15.06.2008 14:24 26.898 RUNDLL32.EXE-31A72CB3.pf 15.06.2008 14:24 25.750 RUNDLL32.EXE-44EF1755.pf 15.06.2008 14:24 24.148 RUNDLL32.EXE-2978C9E3.pf 15.06.2008 14:23 24.392 RUNDLL32.EXE-280FDCEF.pf 15.06.2008 14:22 22.778 RUNDLL32.EXE-3983973C.pf 15.06.2008 14:22 35.130 RUNDLL32.EXE-26900EC0.pf 15.06.2008 14:21 23.114 RUNDLL32.EXE-195D336C.pf 15.06.2008 14:21 23.736 RUNDLL32.EXE-1648670D.pf 15.06.2008 14:21 24.826 RUNDLL32.EXE-27898C4E.pf 15.06.2008 14:21 22.788 RUNDLL32.EXE-4325F947.pf 15.06.2008 14:21 24.758 RUNDLL32.EXE-1999FA85.pf 15.06.2008 14:21 23.586 RUNDLL32.EXE-380AF3B2.pf 15.06.2008 14:21 28.336 RUNDLL32.EXE-23E625BF.pf 15.06.2008 14:21 28.156 RUNDLL32.EXE-38966288.pf 15.06.2008 14:21 27.770 RUNDLL32.EXE-13FE23BA.pf 15.06.2008 13:55 22.370 RUNDLL32.EXE-49DB260B.pf 15.06.2008 13:52 22.778 RUNDLL32.EXE-2D621E89.pf 15.06.2008 13:52 24.964 RUNDLL32.EXE-25F74F4F.pf 15.06.2008 13:51 23.700 RUNDLL32.EXE-4492E801.pf 15.06.2008 13:45 82.170 POWERCONVERTER.EXE-2F22B3B9.pf 15.06.2008 13:45 55.138 LIMEWIRE.EXE-1CE6208C.pf 15.06.2008 10:54 59.114 RUNDLL32.EXE-2F53D896.pf 15.06.2008 10:46 57.738 RUNDLL32.EXE-319EE65C.pf 15.06.2008 10:43 56.494 RUNDLL32.EXE-2C3E0314.pf 15.06.2008 10:38 57.094 RUNDLL32.EXE-35896585.pf 15.06.2008 10:14 57.122 RUNDLL32.EXE-146860AE.pf 15.06.2008 09:57 56.494 RUNDLL32.EXE-38E23E29.pf 15.06.2008 09:31 95.258 DFRGNTFS.EXE-269967DF.pf 15.06.2008 09:31 17.760 DEFRAG.EXE-273F131E.pf 15.06.2008 09:31 494.312 Layout.ini 14.06.2008 23:57 134.856 DWWIN.EXE-30875ADC.pf 14.06.2008 17:06 110.106 CRYSIS.EXE-216FF10A.pf 14.06.2008 09:19 69.840 ALG.EXE-0F138680.pf 11.06.2008 10:56 6.434 AVRDUDE.EXE-0281F2B4.pf 22.05.2008 11:47 1.281.976 NTOSBOOT-B00DFAAD.pf ----- Windows -------------------------- Verzeichnis von C:\WINDOWS 23.06.2008 11:58 159 wiadebug.log 23.06.2008 11:58 50 wiaservc.log 23.06.2008 11:43 15.600 gdrv.sys 23.06.2008 11:42 0 0.log 23.06.2008 11:42 2.048 bootstat.dat 23.06.2008 11:39 32.042 SchedLgU.Txt 23.06.2008 11:39 1.091.995 WindowsUpdate.log 22.06.2008 21:02 227 system.ini 22.06.2008 21:02 582 win.ini 22.06.2008 16:22 225 setupact.log 22.06.2008 16:22 14.989 setupapi.log 22.06.2008 15:27 261.946 ntbtlog.txt 22.06.2008 14:56 110.455 BM43b71b75.xml 22.06.2008 14:51 815 BM43b71b75.txt 22.06.2008 14:50 21 pskt.ini 21.06.2008 14:12 689 OEWABLog.txt 21.06.2008 11:02 622 tabletoc.log 21.06.2008 11:02 13.280 iis6.log 21.06.2008 11:02 1.374 imsins.log 21.06.2008 11:02 811 ocmsn.log 21.06.2008 11:02 4.573 comsetup.log 21.06.2008 11:02 3.064 ntdtcsetup.log 21.06.2008 11:02 7.412 tsoc.log 21.06.2008 11:02 9.889 KB951376-v2.log 21.06.2008 11:02 1.144 MedCtrOC.log 21.06.2008 11:02 2.675 netfxocm.log 21.06.2008 11:02 8.772 ocgen.log 21.06.2008 11:02 788 msgsocm.log 21.06.2008 11:02 12.972 FaxSetup.log 21.06.2008 11:02 3.726 msmqinst.log 20.06.2008 12:29 1.917 imsins.BAK 19.06.2008 23:38 43 FFS20ChtReg.ini 19.06.2008 23:30 43 FFS20DeuReg.ini 19.06.2008 20:41 116 NeroDigital.ini 18.06.2008 10:41 0 nsreg.dat 17.06.2008 18:10 23 BlendSettings.ini 26.05.2008 11:30 285 w32demo8.ini 23.05.2008 12:37 41 OPML8WP.INI 21.05.2008 13:11 23 popcinfot.dat ----- Tasks ---------------------------- Verzeichnis von C:\WINDOWS\tasks 23.06.2008 11:55 430 User_Feed_Synchronization-{1C5FDA65-85E0-47C4-90B2-7058C4979997}.job 23.06.2008 11:42 508 1-Klick-Wartung.job 23.06.2008 11:42 6 SA.DAT 17.06.2008 09:07 276 AppleSoftwareUpdate.job ----- Wintemp -------------------------- Verzeichnis von C:\WINDOWS\temp 23.06.2008 11:43 409 WGANotify.settings 23.06.2008 11:42 16.384 Perflib_Perfdata_1e0.dat 23.06.2008 11:42 255 WGAErrLog.txt 22.06.2008 20:56 16.384 Perflib_Perfdata_768.dat 22.06.2008 20:52 16.384 Perflib_Perfdata_760.dat 22.06.2008 16:22 16.384 Perflib_Perfdata_94.dat 22.06.2008 16:02 16.384 Perflib_Perfdata_7e8.dat 22.06.2008 15:49 16.384 Perflib_Perfdata_7ec.dat 22.06.2008 15:47 16.384 Perflib_Perfdata_7f8.dat 22.06.2008 14:45 16.384 Perflib_Perfdata_76c.dat 21.06.2008 17:08 16.384 Perflib_Perfdata_c0.dat ----- Temp ----------------------------- Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 23.06.2008 11:58 147.660 filelist.txt 23.06.2008 11:54 114.688 ~DFDB39.tmp 23.06.2008 11:43 16.384 Perflib_Perfdata_c24.dat 23.06.2008 10:40 274 sarscan.log 23.06.2008 09:58 11.440.786 Azureus3.1.0.0.jar 23.06.2008 09:56 10.332 AZU45089.tmp 23.06.2008 09:56 77.824 swt-gdip-win32-3430.dll 23.06.2008 09:56 323.584 swt-win32-3430.dll 22.06.2008 21:12 16.384 ~DFC84F.tmp 22.06.2008 21:09 16.384 ~DFB928.tmp 22.06.2008 20:59 16.384 Perflib_Perfdata_6a0.dat 22.06.2008 20:53 32.768 ~DFDF3E.tmp 22.06.2008 20:36 32.768 ~DFC61.tmp 22.06.2008 16:24 16.384 Perflib_Perfdata_bcc.dat 22.06.2008 14:56 22.287 b336x280.tmp 22.06.2008 14:56 22.287 b468x60.tmp 22.06.2008 14:56 22.287 b720x300.tmp 22.06.2008 14:56 22.287 b728x90.tmp 22.06.2008 14:56 22.287 b300x100.tmp 22.06.2008 14:56 22.287 b120x240.tmp 22.06.2008 14:56 22.287 b250x250.tmp 22.06.2008 14:56 22.287 b240x400.tmp 22.06.2008 14:56 22.287 b234x60.tmp 22.06.2008 14:56 22.287 b180x150.tmp 22.06.2008 14:56 22.287 b300x250.tmp 22.06.2008 14:56 22.287 b120x600.tmp 22.06.2008 14:56 22.287 b120x90.tmp 22.06.2008 14:56 22.287 b160x600.tmp 22.06.2008 14:56 22.287 b125x125.tmp 22.06.2008 14:45 16.384 Perflib_Perfdata_54c.dat 21.06.2008 17:12 22.263 Turkish.bin 21.06.2008 17:12 21.975 Norwegian.bin 21.06.2008 17:12 26.094 Hungarian.bin 21.06.2008 17:12 19.564 Hebrew.bin 21.06.2008 17:12 22.868 Finnish.bin 21.06.2008 17:12 24.321 Czech.bin 21.06.2008 17:12 25.082 Portuguese(Brazil).bin 21.06.2008 17:12 25.093 Greek.bin 21.06.2008 17:12 24.232 Polish.bin 21.06.2008 17:12 21.987 Thai.bin 21.06.2008 17:12 20.991 Arabic.bin 21.06.2008 17:12 16.420 SimChin.bin 21.06.2008 17:12 26.271 Portuguese.bin 21.06.2008 17:12 21.944 English.bin 21.06.2008 17:12 24.093 SWEDISH.bin 21.06.2008 17:12 27.764 Spanish.bin 21.06.2008 17:12 26.136 Russian.bin 21.06.2008 17:12 27.421 Italian.bin 21.06.2008 17:12 25.764 German.bin 21.06.2008 17:12 27.245 French.bin 21.06.2008 17:12 16.962 TradChin.bin 21.06.2008 17:12 25.758 Dutch.bin 21.06.2008 17:12 22.794 Danish.bin 21.06.2008 17:12 20.145 Korean.bin 21.06.2008 17:12 24.310 Japanese.bin 21.06.2008 17:02 30.882 log.txt 18.06.2008 18:23 132 C7572AE1.TMP Code:
ATTFilter SmitFraudFix v2.328
Scan done at 13:00:37,14, 23.06.2008
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\REVOLTEC\FightBoard Advanced 1.00\FightBoard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\GIGABYTE\I-Cool\icool.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Yodm3D.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OO Software\DriveLED\oodled.exe
C:\Programme\girder\Girder.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\mousometer.exe
C:\Programme\IEPro\MiniDM.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Java\jre1.5.0_05\bin\jucheck.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 82.144.41.8
DNS Server Search Order: 62.220.18.8
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7AB6B54B-E3D8-48BA-BD7F-AE335D918693}: NameServer=82.144.41.8 62.220.18.8
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7AB6B54B-E3D8-48BA-BD7F-AE335D918693}: NameServer=82.144.41.8 62.220.18.8
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
Geändert von olitoll (23.06.2008 um 12:05 Uhr) |
|
| Themen zu Extrem Wiederspänstiger Vundo/Gen |
| administrator, antivir, avira, boot cd, desktop, download, einstellungen, excel, fehler, festplatte, free download, gigabyte, hijack, hijackthis, hkus\s-1-5-18, icq, internet, internet explorer, microsoft, nvidia, preferences, programme, rootkit, senden, starten, suchlauf, system, trojaner, vundo, windows, windows xp, windows xp sp3, xp sp3 |
Linear-Darstellung
