| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner Vundo und andere SchädlingeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.07.2008, 11:45
| #1 |
 |  Trojaner Vundo und andere Schädlinge Ich habe folgendes Problem. Seit ein paar Tagen spinnt mein Rechner rum. Ich habe AntiVir durchlaufen lassen. Dabei wurde der Trojaner TR/Vundo.Gen gefunden, der immer wieder von Antivir gemeldet wird. Desweiteren fand AntiVir TR/Crypt.XPACK.Gen, TR/BHM.ffl und BAT/Fake.Privdanger (diese habe ich Smitfraudfix laut Anleitung entfernt, und jetzt kann ich meinen alten Hintergrund aich wieder sehen.) Mein PC spinnt folgendermaßen rum: Es wurde eine zweites Admin konto erstellt, mit dem ich mich nur im abgesicherten Modus anmelden kann. Somit kann ich z.B. den Hintergrund nicht ändern, da lt. windows die Option Anzeige in der Systemsteuerung deaktiviert wurde. TR Vundo und R/Crypt.XPACK.Gen verbreiten sich immer weiter auf dem PC laut AntiVir Es öffnet sich immer die Werbeseite von AntiVirus 2008. Ich kann im Arbeitsplatz nicht direkt auf die Festplatte zugreifen. Unten Links rechts neben der Uhr steht Virus Alert der Taskmanager läßt sich nicht öffnen. Ich habe schon ein tool zum entfernen von vundo ausprobiert, es hat aber den Trojaner nicht gefunden. Ich bitte euch: Helft mir mit meinen Problemtrojanern. Betriebssystem: Windows XP Profewssionel Ort von TR/Vundo C:\WINDOWS\system32\geBsQHXo.dll C:\WINDOWS\system32\hgGyXnOH.dll mfG Hier habe ich noch ein Hijacklog gemacht: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:24: VIRUS ALERT!, on 25.07.2008 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\ezSP_Px.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Mousometer\mousometer.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\WgaTray.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Alles\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.**m/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://h**p://softwarereferral.**m/j...MjI6Ojg5&lid=2 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://search.qsrch.com/ O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (file missing) O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: qndsfmao - {3FCAEB7D-F8AE-4A67-AE6C-57EE1416BB6D} - C:\DOKUME~1\alle\LOKALE~1\Temp\ac8zt2\qndsfmao.dll (file missing) O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Desksite CMA] C:\Programme\desksite\bin\cma.exe O4 - HKLM\..\Run: [EUSBSTORC] C:\Program Files\EUSBSTORC.exe O4 - HKLM\..\Run: [ATIPTA] C:\WINDOWS\atiptaxx.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe O4 - HKCU\..\Run: [AntispywareBot] C:\Programme\AntispywareBot\AntispywareBot.exe -boot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://***.cult3d.com/download/cult.cab O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} (TurnTool Scene) - h**p://**.turntool.com/ViewerInstall.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://h**p://captainbarut.spaces.li...d/MsnPUpld.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://h**p://a1540.g.akamai.n*t/7/1...eInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://h**p://v5.windowsupdate.micro...?1095694166515 O16 - DPF: {7545D8C8-F53C-4E2F-8FA0-D248EF4A6E61} - h**p://scanner.vav-x-scanner.**m/setup/setup.cab O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - h**p://h**p://www.sibelius.**m/downl...iveXPlugin.cab O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - h**p://h**ps://img.web.de/v/fotoalbu...load_11110.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - h**p://h**p://pdl.stream.aol.com/dow...ampx_en_dl.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PanelSvc - Unknown owner - C:\Programme\Meinungsstudie\PanelApp\PanelSvc.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 7173 bytes Geändert von Nordie (26.07.2008 um 12:36 Uhr) |
| Themen zu Trojaner Vundo und andere Schädlinge |
| abgesicherten modus, antivir, antivirus, avira, ebay, entfernen, excel, explorer, festplatte, firefox, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, monitor, mozilla, mozilla firefox, schädling, software, t-online, taskmanager, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/vundo.gen, trojaner, unknown file in winsock lsp, virus alert!, vundo, windows, windows xp, ändern, öffnet |
Baum-Darstellung