Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Vundo, BHO, Agent

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 23.07.2008, 23:57   #1
-Messias-
 
Vundo, BHO, Agent - Standard

Vundo, BHO, Agent



Hallo,
im lauter Lern-Stress war ich scheinbar nicht ganz
auf der Höhe was mit meinem PC geht bzw. was mein
Bruder in der Zeit gemacht hat, wo der hier war:

Hab auf jeden fall Versuch mit MaleWare zu entfernen,
was zu entfernen ist. Allerdings sind weiterhin noch 14
"Infizierung" da...

Hier Hi Jack File :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:45:56, on 24.07.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Programme\XPwinExite\TrayExite2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\***\Desktop\Antivir\avenger.exe
C:\Dokumente und Einstellungen\***\Desktop\Antivir\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ***p://www.medion.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ***p://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***p://webfile.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - _{A045DC85-FC44-45be-8A50-E4F9C62C9A84} - (no file)
R3 - URLSearchHook: (no name) - _{0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [BM8b1f6a00] Rundll32.exe "C:\WINDOWS\System32\vkriucad.dll",s
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: XPwinExit Edition.LNK = C:\Programme\XPwinExite\TrayExite2.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - ***p://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=***p://www.aldi.com
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - ***p://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ***p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177981040093
O17 - HKLM\System\CCS\Services\Tcpip\..\{C746A5AF-4FD7-4443-A51D-C10DB7903BD4}: NameServer = 192.168.0.1
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--


Maleware Log

Malwarebytes' Anti-Malware 1.22
Datenbank Version: 984
Windows 5.1.2600 Service Pack 1

00:55:44 24.07.2008
mbam-log-7-24-2008 (00-55-40).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48090
Laufzeit: 8 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\tuvSmlkk.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xxyvwWmj.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0e597f73-a831-406e-ae59-c68087cf1815} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0e597f73-a831-406e-ae59-c68087cf1815} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{82336a8d-6cd0-4647-b791-75fca8cf2b39} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{82336a8d-6cd0-4647-b791-75fca8cf2b39} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyvwwmj (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{82336a8d-6cd0-4647-b791-75fca8cf2b39} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm8b1f6a00 (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\tuvsmlkk -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\tuvsmlkk -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\tuvSmlkk.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\kklmSvut.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\kklmSvut.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xxyvwWmj.dll (Trojan.BHO) -> No action taken.
C:\WINDOWS\system32\vkriucad.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\BM8b1f6a00.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM8b1f6a00.txt (Trojan.Vundo) -> No action taken.


Wäre euch unglaublich dankbar, wenn ihr mir sagen könntet
ob da noch was zu retten ist....


Dank im Voraus ..

grüße

Alt 24.07.2008, 12:51   #2
myrtille
/// TB-Ausbilder
 
Vundo, BHO, Agent - Standard

Vundo, BHO, Agent



Hi,

wie lange lernst du denn schon? Service Pack und Java sind von 2004. Da müsste schnell was getan werden, sonst biste bald wieder befallen!

Wieso läuft Avenger?

Lass alle Funde von Malwarebytes löschen, erstell danach ein Log mit DSS:
DSS
  • Lade dir DSS
  • Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
  • Führe während DSS arbeitet bitte keine anderen Aktionen durch
  • Am Ende öffnen sich 2 Datein main.txt und extra.txt
  • Poste den Inhalt beider Dateien hier

lg myrtille
__________________

__________________

Antwort

Themen zu Vundo, BHO, Agent
adobe, antivir, antivirus, avira, bho, browser, computer, ctfmon.exe, desktop, dll, einstellungen, entfernen, explorer, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, maleware, malwarebytes' anti-malware, notification, registrierungsschlüssel, rundll, software, symantec, system, unknown file in winsock lsp, urlsearchhook, vundo, windows, windows xp




Ähnliche Themen: Vundo, BHO, Agent


  1. Trojaner TR/Dropper.Gen , TR/Vundo Gen , TR/Agent.12800.V
    Plagegeister aller Art und deren Bekämpfung - 24.11.2009 (5)
  2. TR\Agent.bknt / TR\Vundo.Gen
    Log-Analyse und Auswertung - 25.01.2009 (1)
  3. Multitrojanerbefall Vundo.Gen/Patched.DY.1/Agent.avjo/AutoTDSS.big
    Plagegeister aller Art und deren Bekämpfung - 22.01.2009 (4)
  4. Trojan.Vundo, rootkit.agent
    Plagegeister aller Art und deren Bekämpfung - 30.12.2008 (12)
  5. Avira sagt: TR/Vundo.OE; TR/Spy.Agent.fnt usw..
    Log-Analyse und Auswertung - 19.12.2008 (1)
  6. TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen
    Plagegeister aller Art und deren Bekämpfung - 25.08.2008 (4)
  7. Vundo und Agent.DUJ befall!Bitte um Hilfe
    Log-Analyse und Auswertung - 03.07.2008 (0)
  8. Verdacht auf Trojaner Vundo und Agent.DUJ
    Mülltonne - 03.07.2008 (0)
  9. TR/Vundo.Gen, TR/Crypt.ULPM.Gen, DR/Agent.BHO....
    Plagegeister aller Art und deren Bekämpfung - 02.07.2008 (9)
  10. Erst TR/Drop.Agent.dgo.8 dann TR/Vundo.DWK
    Log-Analyse und Auswertung - 01.02.2008 (11)
  11. TR/Drop.Agent.dgo.8 und TR/Vundo Familie eingefangen
    Plagegeister aller Art und deren Bekämpfung - 29.01.2008 (1)
  12. [B]Help: TR/Vundo.gen und TR/Agent.uaa[/B]
    Plagegeister aller Art und deren Bekämpfung - 03.01.2008 (25)
  13. TR/Vundo.gen und TR/Dldr.Agent.fiv
    Plagegeister aller Art und deren Bekämpfung - 01.12.2007 (6)
  14. Auch das Problem mit TR/Vundo.Gen, und TR/Agent.323168
    Mülltonne - 30.11.2007 (0)
  15. Vundo.gen und Agent.csy.1
    Plagegeister aller Art und deren Bekämpfung - 29.11.2007 (2)
  16. TR/Agent.37376 + TR/Vundo.Gen, Logs added
    Log-Analyse und Auswertung - 27.11.2007 (2)
  17. Ziemlich viele Funde in kurzer Zeit (Vundo.Gen/Agent.Age)
    Log-Analyse und Auswertung - 15.04.2007 (10)

Zum Thema Vundo, BHO, Agent - Hallo, im lauter Lern-Stress war ich scheinbar nicht ganz auf der Höhe was mit meinem PC geht bzw. was mein Bruder in der Zeit gemacht hat, wo der hier war: - Vundo, BHO, Agent...
Archiv
Du betrachtest: Vundo, BHO, Agent auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.