| |
| |||||||
Log-Analyse und Auswertung: TR/Vundo.GenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
17.07.2008, 23:46
| #1 |
| |  TR/Vundo.Gen Heyho! Also seit eine neustart seit gerade vor ca. 5Min lässt der TR/Vundo.Gen mich einfach nicht mehr in ruhe. Ich habe ihn bereits mit AntiVir gelöscht doch die Virusmeldung kommt einfach immer wieder. Nun wollte ich mal wissen ob ich den Trojaner entfernen kann ohne Die Festplatte auszubauen oder Windows neu drauf zu klatschen... Nunja hier erst mal mein HijackThis Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:16:59, on 01.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\Dit.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\Microsoft ActiveSync\Wcescomm.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Hamachi\hamachi.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Winamp\Winamp.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE D:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {6e4cf71d-c27b-4ca2-83a0-76de1ee8b919} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {8EA479BF-A910-4B14-8BB1-CD195871F947} - C:\WINDOWS\system32\urqNDvwU.dll (file missing) O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O2 - BHO: (no name) - {F3A1EC9C-BB4D-4CE1-9F6F-1048F2946D89} - C:\WINDOWS\system32\urqpQJyW.dll O2 - BHO: {2e2bd41d-ea2d-a57a-8274-2252d18feecf} - {fceef81d-2522-4728-a75a-d2aed14db2e2} - C:\WINDOWS\system32\vfffxb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [14f5fdec] rundll32.exe "C:\WINDOWS\system32\sbsptdws.dll",b O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe" O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Clipmem Advanced.lnk = C:\Programme\ClipMemAdvanced\clipmem.exe O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe O4 - Startup: Mopy Points Collector.lnk = C:\MOPYFISH\GETPOINT.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIC273~1\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: urqNDvwU - urqNDvwU.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: MySQL - Unknown owner - C:\Programme\WoW.exe (file missing) O23 - Service: MySQL501 - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 8699 bytes Bitte Bitte helft mir. Sonst kann ich heute Nacht nicht ruhig schlafen  |
|
18.07.2008, 00:18
| #2 |
| | TR/Vundo.Gen Hallo, ich bins nochmal, wollte nur sagen: Der Virus ist weg, thread kann geclosed werden.
__________________Hab die Infizierte datei mit AntiVir überprüft und AntiVir fand einen Fund ich löschte dann diese Datei per Antivir und verschob sie vorher noch in Quarantäne, datei weg ---> virus weg ---> Matthias glücklich  Mit freundlichen grüßen Matthias [BITTE SCHLIESSEN] |
|
18.07.2008, 00:35
| #3 |
| | TR/Vundo.Gen Neeeeeiin! Halt! Nicht closen!
__________________Ich habe da noch ein Problem aber leider kann ich nicht viel dazu sagen ich habe mir nur mal den Report von Anti Vir angeschaut und das dabei entdeckt : Beginne mit der Suche in 'C:\' <USERNAME> C:\ARKE.tmp [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen. [HINWEIS] Die Datei wurde gelöscht. C:\ARKF.tmp [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen. [HINWEIS] Die Datei wurde gelöscht. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temp\Rar$EX00.922\Setup.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MNAROFU7\kb456456[1] [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MNAROFU7\kb456456[2] [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OM9H1OMR\kb767887[1] [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RWSBMYB7\CAZESRNH [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RWSBMYB7\kb767887[1] [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SVKB43A9\favicon[1].ico [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL [FUND] Enthält Erkennungsmuster des Wurmes WORM/MyWebSearch.A.241664 [HINWEIS] Die Datei wurde gelöscht. Kann mir da vielleicht einer sagen wie ich diese Datein gelöscht bekomme? Vielen Dank schonmal... |
|
18.07.2008, 13:29
| #4 |
| | TR/Vundo.Gen Kann mir denn wirklich keiner helfen?  |
|
19.07.2008, 19:02
| #5 |
| | TR/Vundo.Gen Pah, eine echt "super" Community, aber darauf kann ich verzichten. Achso, Dank einem anderen Forum, wo Sie mir gute Ratschläge gaben wie ich den Virus entferne habe ich nun diesen Trojaner entfernt. Aber in diesem Forum... tzzz... Unmöglich... Ich werde dieses Forum auch garantiert nicht weiterempfehlen. Tja tut mir zwar leid aber so wie man hier behandelt wird oder eher gesagt wie man hier nicht behandelt wird ist einfach nur unbeschreiblich schlecht! Schönen Tag noch. |
|
| Themen zu TR/Vundo.Gen |
| adobe, antivir, avira, bho, dll, entfernen, explorer, festplatte, firefox, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, mozilla, mozilla firefox, mysql server, neustart, nmindexstoresvr.exe, nvidia, rundll, senden, server, software, system, tr/vundo.gen, trojaner, trojaner entferne, trojaner entfernen, windows, windows xp |
Linear-Darstellung
