AntiVir meldet: TR\Monder.set

Gepard07 · 11.10.2008, 15:36

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:22:31, on 11.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files\ASUS\GamerOSD\ATKFastUserSwitching.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\AASP\1.00.59\aaCenter.exe
C:\Program Files\ASUS\Ai Suite\EnergySaving\PwSave.exe
C:\Program Files\Logitech\SetPoint\LBTWiz.exe
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\Program Files\T-Online\DSL-Manager\DslMgr.exe
C:\Windows\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {A84F5335-A47A-4B22-A537-EF83FD91D6CC} - C:\Windows\system32\hgGxwwxV.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: Babylon - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - C:\Program Files\Babylon\Babylon Toolbar\BabylonIEToolBar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [SoundTray] C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe"
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" -NoStart
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - .DEFAULT User Startup: DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: DSL-Manager.lnk = C:\Program Files\T-Online\DSL-Manager\DslMgr.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASDR - Unknown owner - C:\Windows\System32\ASDR.exe
O23 - Service: ATK Fast User Switch Service (ATKFUSService) - ASUSTeK COMPUTER INC. - C:\Windows\system32\ATKFUSService.exe
O23 - Service: BlueSoleilCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: BsHelpCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\Windows\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Program Files\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Program Files\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 11730 bytes

cosinus · 11.10.2008, 15:43

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Gepard07 · 11.10.2008, 17:39

1. erledigt
2. mbr-tool

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

3. Blacklight

10/11/08 17:15:16 [Info]: BlackLight Engine 2.2.1092 initialized
10/11/08 17:15:16 [Info]: OS: 6.0 build 6001 (Service Pack 1)
10/11/08 17:15:17 [Note]: 7019 4
10/11/08 17:15:17 [Note]: 7005 0
10/11/08 17:15:40 [Note]: 7006 0
10/11/08 17:15:40 [Note]: 7027 0
10/11/08 17:15:40 [Note]: 7035 0
10/11/08 17:15:40 [Note]: 7026 0
10/11/08 17:15:40 [Note]: 7026 0
10/11/08 17:15:45 [Note]: FSRAW library version 1.7.1024
10/11/08 17:20:17 [Note]: 4015 127514
10/11/08 17:20:17 [Note]: 4027 127514 327680
10/11/08 17:20:17 [Note]: 4020 127513 327680
10/11/08 17:20:17 [Note]: 4018 127513 327680
10/11/08 17:20:20 [Note]: 4015 127517
10/11/08 17:20:20 [Note]: 4027 127517 327680
10/11/08 17:20:20 [Note]: 4020 127514 327680
10/11/08 17:20:20 [Note]: 4018 127514 327680
10/11/08 17:20:42 [Note]: 4015 83864
10/11/08 17:20:42 [Note]: 4027 83864 262144
10/11/08 17:20:42 [Note]: 4020 83863 262144
10/11/08 17:20:42 [Note]: 4022 83863
10/11/08 17:21:42 [Note]: 4015 121117
10/11/08 17:21:42 [Note]: 4027 121117 65536
10/11/08 17:21:42 [Note]: 4020 114598 393216
10/11/08 17:21:42 [Note]: 4022 114598
10/11/08 17:22:04 [Note]: 4015 127514
10/11/08 17:22:04 [Note]: 4027 127514 327680
10/11/08 17:22:04 [Note]: 4020 127513 327680
10/11/08 17:22:04 [Note]: 4018 127513 327680
10/11/08 17:22:10 [Note]: 4015 83864
10/11/08 17:22:10 [Note]: 4027 83864 262144
10/11/08 17:22:10 [Note]: 4020 83863 262144
10/11/08 17:22:10 [Note]: 4022 83863
10/11/08 17:22:35 [Note]: 4015 1430
10/11/08 17:22:35 [Note]: 4027 1430 65536
10/11/08 17:22:35 [Note]: 4020 1427 65536
10/11/08 17:22:35 [Note]: 4018 1427 65536
10/11/08 17:22:53 [Note]: 4015 1611
10/11/08 17:22:53 [Note]: 4027 1611 65536
10/11/08 17:22:53 [Note]: 4020 565 65536
10/11/08 17:22:53 [Note]: 4018 565 65536
10/11/08 17:23:02 [Note]: 4015 1692
10/11/08 17:23:02 [Note]: 4027 1692 65536
10/11/08 17:23:02 [Note]: 4020 1611 65536
10/11/08 17:23:02 [Note]: 4018 1611 65536
10/11/08 17:24:45 [Note]: 4015 2570
10/11/08 17:24:45 [Note]: 4027 2570 65536
10/11/08 17:24:45 [Note]: 4020 1611 65536
10/11/08 17:24:45 [Note]: 4018 1611 65536
10/11/08 17:28:16 [Note]: 7007 0

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1257
Windows 6.0.6001 Service Pack 1

11.10.2008 17:40:35
mbam-log-2008-10-11 (17-40-20).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 51171
Laufzeit: 4 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 2
Infizierte Dateien: 25

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Windows\System32\hgGxwwxV.dll (Trojan.Vundo.H) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a84f5335-a47a-4b22-a537-ef83fd91d6cc} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a84f5335-a47a-4b22-a537-ef83fd91d6cc} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f7b0f7b2-1b10-4240-b00b-354f3c04e3f5} (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f7b0f7b2-1b10-4240-b00b-354f3c04e3f5} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\hggxwwxv -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\hggxwwxv -> No action taken.

Infizierte Verzeichnisse:
C:\Program Files\PCHealthCenter (Trojan.Fakealert) -> No action taken.
C:\Program Files\MicroAV (Rogue.MicroAntivirus) -> No action taken.

Infizierte Dateien:
C:\Windows\System32\hgGxwwxV.dll (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\VxwwxGgh.ini (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\VxwwxGgh.ini2 (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\eFwvsTNE.dll (Trojan.Vundo) -> No action taken.
C:\Users\Cheetah\AppData\Local\Temp\tmp0000ca8e (Trojan.Vundo) -> No action taken.
C:\Users\Cheetah\AppData\Local\Temp\tmp0001030c (Trojan.Vundo) -> No action taken.
C:\Program Files\PCHealthCenter\0.gif (Trojan.Fakealert) -> No action taken.
C:\Program Files\PCHealthCenter\1.gif (Trojan.Fakealert) -> No action taken.
C:\Program Files\PCHealthCenter\2.gif (Trojan.Fakealert) -> No action taken.
C:\Program Files\PCHealthCenter\3.gif (Trojan.Fakealert) -> No action taken.
C:\Program Files\PCHealthCenter\sc.html (Trojan.Fakealert) -> No action taken.
C:\Program Files\MicroAV\MicroAV.ooo (Rogue.MicroAntivirus) -> No action taken.
C:\Program Files\MicroAV\MicroAV0.dat (Rogue.MicroAntivirus) -> No action taken.
C:\Program Files\MicroAV\MicroAV1.dat (Rogue.MicroAntivirus) -> No action taken.
C:\Windows\System32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\TDSSserv.sys (Trojan.Agent) -> No action taken.
C:\Windows\Fonts\acrsecB.fon (Trojan.Agent) -> No action taken.
C:\Windows\Fonts\acrsecI.fon (Trojan.Agent) -> No action taken.
C:\Users\Cheetah\AppData\Local\Temp\TDSS10d1.tmp (Trojan.FakeAlert) -> No action taken.
C:\Users\Cheetah\AppData\Local\Temp\TDSS1a62.tmp (Trojan.FakeAlert) -> No action taken.
C:\Users\Cheetah\AppData\Local\Temp\TDSSd42f.tmp (Trojan.FakeAlert) -> No action taken.
C:\Users\Cheetah\AppData\Local\Temp\myconfig.php (Trojan.FakeAlert) -> No action taken.
C:\Windows\Temp\TDSS67f5.tmp (Trojan.Agent) -> No action taken.
C:\Windows\Temp\TDSS9b06.tmp (Trojan.FakeAlert) -> No action taken.
C:\Windows\System32\TDSSerrors.log (Trojan.TDSS) -> No action taken.

wiederhole jetzt den vollständigen Scan, dauert aber noch etwas
Die infizierten Datein dann löschen?

Danach den Silentunners...

Soll, kann ich dann ComboFix ausführen, laut Anweisung muss ich ja dann alles schließen incl. FireFox oder noch warten?

Vielen Dank für die Hilfe... Dirk

cosinus · 11.10.2008, 18:09

Führe bitte alles so aus, wie in der Anleitung beschrieben. Und ja, bei Combofix alle schließen, auch den Wächter den Virenscanners. Mit Malwarebytes alle Funde beseitigen.

Gepard07 · 11.10.2008, 20:30

Vollscan von Malwarebytes kam zum selben Ergebnis, die löschung konnt ich aber erst nach Schließung vom At-guard durchführen, da mir "hgGxwwxV.dll (Trojan.Vundo.H)" einen blauen Bildschirm mit Win-Absturz bescherte - letzter Scan und keine Meldung mehr von AntiVir - schon mal mehr als Danke dafür...

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1257
Windows 6.0.6001 Service Pack 1

11.10.2008 20:53:51
mbam-log-2008-10-11 (20-53-51).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 50601
Laufzeit: 3 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

4. durchgeführt - Datei gezippt in der Anlage

nun weiter zu Punkt fünf - schließe alles hab mir die Anleitung herunter geladen - meld mich wenn es vorüber ist - Thanks

cosinus · 12.10.2008, 19:47

Heißt das also, Du hast den Wächter von AntiVir aktiv gehabt, als Du Malwarebytes durchlaufen lassen hattest? Sollte eigentlich klar sein, dass man diesen vorher deaktiviert

Gepard07 · 13.10.2008, 12:22

Sorry, wusst ich nicht, das man AntiVir deaktivieren muss - Ich konnte ComboFix am Sanmstag nicht mehr durchführen, da mein System nur instabil lief und ich mir nicht sicher war, was passiert wenn während des durchlaufen von ComboFix passiert, wenn der Rechner abstürzt, bitte um Info, ob ich ComboFix trotzdem anwenden muss.

der Driverproblem war tcpip.sys 0xc 0000221 - ist behoben, gestern abend dann wieder bluesceen mit Meldung mtfs.sys...

bin an einem anderen Rechner, kann erst ab ca. 16:30 Uhr weiter machen (ComboFix) bitte nochmal um Anweiseung bzw. ob ich noch einen anderen Test vor Start vom ComboFix machen soll außer CCleaner natürlich.

Vielen Dank schon mal, Dirk

11.10.2008, 18:09	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$AntiVir meldet: TR\Monder.set - Icon32$ AntiVir meldet: TR\Monder.set Führe bitte alles so aus, wie in der Anleitung beschrieben. Und ja, bei Combofix alle schließen, auch den Wächter den Virenscanners. Mit Malwarebytes alle Funde beseitigen. __________________ Logfiles bitte immer in CODE-Tags posten

12.10.2008, 19:47	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$AntiVir meldet: TR\Monder.set - Icon32$ AntiVir meldet: TR\Monder.set Heißt das also, Du hast den Wächter von AntiVir aktiv gehabt, als Du Malwarebytes durchlaufen lassen hattest? Sollte eigentlich klar sein, dass man diesen vorher deaktiviert __________________ --> AntiVir meldet: TR\Monder.set

AntiVir meldet: TR\Monder.set

Plagegeister aller Art und deren Bekämpfung: AntiVir meldet: TR\Monder.set