Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen

TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen


Log-Analyse und Auswertung: TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 28.06.2008, 08:16   #1
Veitstaenzer
 
TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen - Standard

TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen


Auf ein neues, diesmal hoffentlich ohne Links ;-)

Hallo zusammen,

ein guter Freund hat mich gebeten seinen Rechner mal anzuschaun, weil er ein Virusproblem hat.
Ich hab mich im vorraus über den von AntiVir gemeldeten Virus (Vundo) informiert und mich gefreut, dass die Sache mit VundoFix wohl ein Spaziergang werden würde.

Leider hat VundoFix beim scannen nichts gefunden, auch nicht die von Antivir als infiziert gemeldeten Dateien.
Als ich VundoFix manuell erzählt hab, dass die Dateien infiziert sind und dann den Rechner neu gestartet habe, ließ sich eine der als infiziert gemeldeten Dateien scheinbar fixen (urqNFVlk.dll), die andere aber nicht (khfEVpno.dll).
In einer Anleitung Vundo zu erledigen stand, dass Java deinstalliert werden soll, schlagt mich bitte nicht aber: wie geht das? In der XP Softwareliste stand kein Java und die Win-Suchfunktion hat bei "JAVA" nix ausgespuckt.

Ich hab dann ein HJTlog gemacht (folgt unten) und HJT mal gesagt, dass es die Dateien fixen soll, nu scheint die zweite auch gelöscht zu sein, aber AntiVir meldet eine Infizierung mit TR/Spy.VB.ajb. Das stand auch in einem AntiVir log was mein Freund mir gezeigt hat, da stand auch noch TR/crypt.ULPM.gen, aber die Beiden wurden bei späteren Scans nicht gefunden, Vundo hingegen schon.

Nun mache ich mir keine Illusionen, dass das manuelle löschen via HJT Vundo schon den garaus gemacht hat, und die Infizierung mit dem anderen wär noch zu erledigen, deswegen wäre ich für Hilfe äußerst dankbar ;-)

Lieben Gruß,
Veits

HJT Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:12, on 2008-06-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
D:\Home Cinema\PowerDVD\PDVDServ.exe
D:\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Iomega\AutoDisk\AD2KClient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~2\X10\Common\x10nets.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN*com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live*Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live* Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN*com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5216BC01-B8DD-4E48-B96E-77710E54016B} - C:\WINDOWS\system32\khfEVpno.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
O2 - BHO: (no name) - {F4A88DFE-1E27-4451-A227-7CE8D0B18E07} - C:\WINDOWS\system32\urqNFVlk.dll (file missing)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "D:\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [BMa35158a7] Rundll32.exe "C:\WINDOWS\system32\dwkqdbjb.dll",s
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Programme\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - h**p://www.medionshop.de (file missing) (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - h**p://dot-sunny.cc-635041.namezero....webinstall.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - D:\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - D:\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~2\X10\Common\x10nets.exe

--
End of file - 7504 bytes

Alt 28.06.2008, 09:54   #2
schrauber
/// the machine
/// TB-Ausbilder
 
TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen - Standard

TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen


hi,

Zitat:
C:\WINDOWS\system32\khfEVpno.dll
C:\WINDOWS\system32\dwkqdbjb.dll
diese dateien bitte bei virustotal
überprüfen lassen,ergebnisse hier posten.

starte hijackthis,klicke do a system scan only, und setze vor folgende lästchen einen haken:

Code:
ATTFilter
O2 - BHO: (no name) - {5216BC01-B8DD-4E48-B96E-77710E54016B} - C:\WINDOWS\system32\khfEVpno.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {F4A88DFE-1E27-4451-A227-7CE8D0B18E07} - C:\WINDOWS\system32\urqNFVlk.dll (file missing)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [BMa35158a7] Rundll32.exe "C:\WINDOWS\system32\dwkqdbjb.dll",s
O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - h**p://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - h**p://dot-sunny.cc-635041.namezero....webinstall.cab
schliesse den webbrower und klicke auf fix checked.

scanne dein system mit Malwarebytes Anti-Malware und poste das log.


gruß

schrauber
__________________

__________________
Alt 03.07.2008, 17:11   #3
Veitstaenzer
 
TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen - Standard

TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen


Moin Moin!

Vielen Dank schonmal für Deine Hilfe ;-)

Ich hab HJT rüberlaufen lassen und die Stellen die Du genannt hast gefixt,
die C:\WINDOWS\system32\khfEVpno.dll ist weg und als ich die
C:\WINDOWS\system32\dwkqdbjb.dll bei Virustotal hochladen wollte, kam ein 'server nicht erreichbar' - auf die Hauptseite bin ich aber noch gekommen.

Malwarebytes sagt:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.19
Datenbank Version: 918
Windows 5.1.2600 Service Pack 2

17:43:14 2008-07-03
mblog.txt

Scan Art: Schnell Scan
Objekte gescannt: 41004
Scan Dauer: 6 minute(s), 53 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{5216bc01-b8dd-4e48-b96e-77710e54016b} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BMa35158a7 (Trojan.Agent) -> No action taken.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\modtrux18 (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\modtrux18\modtrux182328.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\dwkqdbjb.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
und HJT sagt inzwischen folgendes:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01, on 2008-07-03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
D:\Home Cinema\PowerDVD\PDVDServ.exe
D:\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Iomega\AutoDisk\AD2KClient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~2\X10\Common\x10nets.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\internet explorer\iexplore.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft*com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft*com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft*com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft*com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "D:\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LSA Shellu] C:\Dokumente und Einstellungen\*USER*\lsass.exe
O4 - HKLM\..\Run: [BMa35158a7] Rundll32.exe "C:\WINDOWS\system32\dwkqdbjb.dll",s
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Programme\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real*com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi*com
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - D:\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - D:\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~2\X10\Common\x10nets.exe

--
End of file - 6949 bytes
Lieben Gruß,
Veits

EDIT:
Ich hab die eine Datei dann via Mail an Virustotal geschickt, das ist der Bericht der grad kam:

Code:
ATTFilter
Complete scanning result of "dwkqdbjb.dll", processed in VirusTotal at 07/03/2008 17:59:47 (CET).

[ file data ]
* name..: dwkqdbjb.dll
* size..: 131584
* md5...: 41c0a59420b035f15dda19bba8b45c15
* sha1..: ad0a49828ee1cc0acb402b41d1d8114a6f226b76
* peid..: -

[ scan result ]
AhnLab-V3 2008.7.3.2/20080703 found nothing
AntiVir 7.8.0.64/20080703 found [TR/Vundo.EWU]
Authentium 5.1.0.4/20080702 found nothing
Avast 4.8.1195.0/20080703 found nothing
AVG 7.5.0.516/20080703 found nothing
BitDefender 7.2/20080703 found [Trojan.Vundo.EWU]
CAT-QuickHeal 9.50/20080703 found nothing
ClamAV 0.93.1/20080703 found nothing
DrWeb 4.44.0.09170/20080703 found [Trojan.Virtumod.based.18]
eSafe 7.0.15.0/20080623 found nothing
eTrust-Vet 31.6.5922/20080702 found nothing
Ewido 4.0/20080703 found nothing
F-Prot 4.4.4.56/20080702 found nothing
F-Secure 7.60.13501.0/20080703 found nothing
Fortinet 3.14.0.0/20080703 found [PossibleThreat]
GData 2.0.7306.1023/20080703 found [Trojan.Win32.Mondera.gen]
Ikarus T3.1.1.26/20080703 found [Trojan.Vundo.EWU]
Kaspersky 7.0.0.125/20080703 found [Trojan.Win32.Mondera.gen]
McAfee 5330/20080702 found nothing
Microsoft 1.3704/20080703 found [Trojan:Win32/Vundo.gen!O]
NOD32v2 3239/20080703 found [Win32/Adware.AdMedia]
Norman 5.80.02/20080703 found [W32/Virtumonde.XUQ]
Panda 9.0.0.4/20080702 found nothing
Prevx1 V2/20080703 found [Fraudulent Security Program]
Rising 20.51.32.00/20080703 found nothing
Sophos 4.30.0/20080703 found [Troj/Virtum-Gen]
Sunbelt 3.1.1509.1/20080703 found nothing
Symantec 10/20080703 found nothing
TheHacker 6.2.96.369/20080703 found nothing
VBA32 3.12.6.8/20080703 found [Trojan.Virtumod.based.18]
VirusBuster 4.5.11.0/20080623 found nothing
Webwasher-Gateway 6.6.2/20080703 found [Trojan.Vundo.EWU]

[ notes ]
Prevx info: h**p://info.prevx*com/aboutprogramtext.asp?PX5=A5B10D3100D6168802E10262A0693700BF20417F
__________________
Alt 03.07.2008, 17:17   #4
schrauber
/// the machine
/// TB-Ausbilder
 
TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen - Standard

TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen


hi,

lass Malwarebytes nochmal laufen, du hast die funde nicht löschen lassen,

danach lasse SUPERAntiSpyware laufen, funde löschen lassen und poste das log.


gruß

schrauber
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 03.07.2008, 17:24   #5
schrauber
/// the machine
/// TB-Ausbilder
 
TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen - Standard

TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen


Ich seh grad was in deinem neuen hjt-log, dass die obige anleitung überflüssig macht.

Zitat:
O4 - HKLM\..\Run: [LSA Shellu] C:\Dokumente und Einstellungen\*USER*\lsass.exe
zwischen deinem ersten post hier und deiner antwort heute liegen fünf tage, in denen dein "harmloser" vundo-befall zeit hatte, andere malware aus dem netz nachzuladen.

wie zum beispiel oben genannte datei, ein wurm mit backdooreigenschaften.

dafür gibt es nur ein mittel, damit dein pc wieder absolut sauber und vertrauenswürdig wird.

du musst deinen rechner vom netz trennen und neuaufsetzen. anleitung dazu findest du in meiner signatur.



gruß

schrauber

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 03.07.2008, 17:30   #6
Veitstaenzer
 
TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen - Standard

TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen


*GRML*

Der Rechner war die ganze Zeit offline - nur EIN Mal war er on, um AntiVir upzudaten. So ein M*ST.

Trotzdem danke für Deine Hilfe.

Gruß,
Veits

Alt 03.07.2008, 17:34   #7
schrauber
/// the machine
/// TB-Ausbilder
 
TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen - Standard

TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen


ich kann dir nur sagen dass die datei in deinem ersten hjt-log nicht auftaucht, sorry.


gruß

schrauber
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 03.07.2008, 18:28   #8
Veitstaenzer
 
TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen - Standard

TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen


*seufz*
Ich wollte ja auch nur sagen, dass wir eigentlich recht vorsichtig waren und den Rechner vom Netz getrennt haben.
Ärgerlich ist das ganze, weil mein Freund keine TreiberCD hat - und google (und andere Suchmaschinen) schon nicht mehr funktioniert, was es schwierig macht an die Treiber zu kommen - das erschwert das neu aufsetzen enorm.

Ich danke Dir auf jeden Fall für Deine Hilfe, auch wenns inzwischen zu spät ist, ich finds super was ihr hier macht!

Lieben Gruß,
Veits

Antwort

Themen zu TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen
adobe, antivir, antivir meldet, avira, bho, explorer, google, hijack, hijackthis, hkus\s-1-5-18, home, infiziert, internet, internet explorer, log, löschen, microsoft, nicht gefunden, nvidia, programme, rundll, scan, system, tr/crypt.ulpm.gen, tr/vundo.gen, vundo, windows, windows xp


« system überlastung. | Problem mit dem svchost.exe Prozess »


Ähnliche Themen: TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen


  1. TR/Crypt.ULPM.Gen
    Log-Analyse und Auswertung - 14.04.2013 (12)
  2. TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (30)
  3. Probleme mit .NET Framework, windows update und Systemwiederherstellung, Trojaner TR/Crypt.XPACK.Gen8, TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.09.2012 (11)
  4. TR/Crypt.ULPM.Gen nur auf Ext-HDD?
    Plagegeister aller Art und deren Bekämpfung - 27.11.2011 (5)
  5. TR\crypt\ULPM.gen
    Plagegeister aller Art und deren Bekämpfung - 23.10.2011 (27)
  6. TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 24.05.2009 (0)
  7. TR/Crypt.ULPM.Gen
    Log-Analyse und Auswertung - 26.03.2009 (7)
  8. TR/Crypt.ULPM.Gen und .crypt.xpack.gen von antivir gemeldet
    Log-Analyse und Auswertung - 27.09.2008 (1)
  9. TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO....
    Plagegeister aller Art und deren Bekämpfung - 02.07.2008 (9)
  10. TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen
    Mülltonne - 28.06.2008 (0)
  11. TR/Vundo.gen und TR/Crypt.ULPM.gen
    Plagegeister aller Art und deren Bekämpfung - 22.02.2008 (2)
  12. TR/Crypt.ULPM.Gen
    Mülltonne - 17.11.2007 (0)
  13. TR/Crypt.ULPM.Gen
    Log-Analyse und Auswertung - 14.07.2007 (9)
  14. tr/Crypt.ULPM.gen
    Log-Analyse und Auswertung - 01.07.2007 (6)
  15. TR/Crypt.ULPM.Gen
    Mülltonne - 01.07.2007 (1)
  16. Spy.Vundo.AF und Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 28.02.2007 (3)
  17. TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 31.01.2007 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen - Auf ein neues, diesmal hoffentlich ohne Links ;-) Hallo zusammen, ein guter Freund hat mich gebeten seinen Rechner mal anzuschaun, weil er ein Virusproblem hat. Ich hab mich im vorraus - TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen...
Archiv
Du betrachtest: TR/Vundo.gen, TR/Spy.VB.ajb und TR/crypt.ULPM.gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130