|
Log-Analyse und Auswertung: TR/Vundo.Gen beseitigt?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
10.11.2008, 16:45 | #1 |
| TR/Vundo.Gen beseitigt? Hallo, hatte heute ein Viren-Problem. Und zwar meldete AntiVirus alle paar Sekunden einen TrojanerFund (TR/Vundo.Gen). Habe dann einiges unternommen: Combofix, Vundofix (ergab keine Ergebnisse) und Anti-Malware (damit konnte ich laut logfile TR/Vundo.Gen löschen). --------------------------------------------------------------------------- Logfile Anti-Malware: Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1379 Windows 5.1.2600 Service Pack 3 10.11.2008 16:27:44 mbam-log-2008-11-10 (16-27-36).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 46412 Laufzeit: 4 minute(s), 13 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\mlJDtUnN.dll (Trojan.Vundo) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f1f1537f-671e-41c2-8b7e-c3042f59c7ed} (Trojan.Vundo.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljdtunn (Trojan.Vundo.H) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{f1f1537f-671e-41c2-8b7e-c3042f59c7ed} (Trojan.Vundo.H) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f1f1537f-671e-41c2-8b7e-c3042f59c7ed} (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f1f1537f-671e-41c2-8b7e-c3042f59c7ed} (Trojan.Vundo) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\mlJDtUnN.dll (Trojan.Vundo.H) -> No action taken. -------------------------------------------------------------------------- Lofile HijackThis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:34:13, on 10.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Samsung\Samsung EDS\EDSAgent.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe C:\Programme\Samsung\DisplayManager\DisplayManager.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Samsung\DisplayManager\dmhkcore.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DisplayManager.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Power2GoExpress] NA O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Pinnacle Streaming Server.lnk = C:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe -- End of file - 7451 bytes -------------------------------------------------------------------------- Was sagen die Experten dazu???? Bin ich wieder virenfrei???? Was ich könnte ich zur Bereinigung noch machen??? Notfalls würd ich auch wieder neuinstallieren. Hab es jetzt erst mal so verssucht, weil ich erst vor kurzen neuinstalliert habe. Vielen vielen Dank schon mal im Vorraus! Schönen Gruss Rexina |
10.11.2008, 22:16 | #2 | |||
| TR/Vundo.Gen beseitigt? Hallo und
__________________mach bitte zuerst alle versteckten Dateien und Ordner sichtbar, dann deaktiviere bitte die Systemwiederherstellung. Deinstalliere bitte über Zitat:
Zitat:
Hast du die Funde von Malwarebytes löschen lassen? Erstelle bitte ein Log mit der Filelist Zitat:
MFG
__________________ |
11.11.2008, 10:46 | #3 |
| TR/Vundo.Gen beseitigt? Hallo und vielen Dank schon mal für die schnelle Antwort,
__________________1. versteckte Dateien und Ordner habe ich sichtbar gemacht, Systemwiederherstellung ist deaktiviert, Java Programme wurden deinstalliert 2. Die Funde von Malware haben sich löschen lassen und hab dies natürlich auch getan. Seitdem meldet Antivirus den Virus auch nicht mehr. 3. => deswegen nach wie vor die Frage von gestern: Bin ich nun virenfrei, daher poste ich nochmal die verschiedenen geforderten Logfiles. ------------------------------------------------------------------------------ Hijackthis Logile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:36:08, on 11.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Samsung\Samsung EDS\EDSAgent.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe C:\Programme\Samsung\DisplayManager\DisplayManager.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Samsung\DisplayManager\dmhkcore.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe C:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Pidgin\pidgin.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DisplayManager.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Power2GoExpress] NA O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Pinnacle Streaming Server.lnk = C:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe -- End of file - 7272 bytes -------------------------------------------------------------------------- Lofile Malwarebytes: Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1379 Windows 5.1.2600 Service Pack 3 11.11.2008 10:39:39 mbam-log-2008-11-11 (10-39-39).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 46594 Laufzeit: 3 minute(s), 54 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) (Anmerkung: Den Logfile von Malwarebytes bevor ich den von Antivirus erkannten Trojaner mit Hilfe von Malware gelöscht habe, sieht man in meinem ersten Beitrag!) Vundofix hat nichts gefunden! Einen Logfile spuckt Vundofix mir nicht aus! Danke schon mal im Vorraus für Hilfe! Gruss Rexina Geändert von Rexina (11.11.2008 um 10:56 Uhr) |
11.11.2008, 10:53 | #4 |
| TR/Vundo.Gen beseitigt? filelist.bat ergab: Verzeichnis von C:\ 11.11.2008 10:37 237 VundoFix.txt 11.11.2008 10:10 73 cj.ini 11.11.2008 10:09 2.145.386.496 pagefile.sys 10.11.2008 18:25 211 boot.ini 10.11.2008 16:08 15.614 ComboFix.txt 09.11.2008 21:31 251.712 ntldr 07.11.2008 09:45 170 Setup.log 07.11.2008 09:25 499 RHDSetup.log 07.11.2008 09:07 0 MSDOS.SYS 07.11.2008 09:07 0 CONFIG.SYS 07.11.2008 09:07 0 IO.SYS 07.11.2008 09:07 0 AUTOEXEC.BAT 04.08.2004 13:00 4.952 bootfont.bin 04.08.2004 13:00 47.564 NTDETECT.COM 14 Datei(en) 2.145.707.528 Bytes 0 Verzeichnis(se), 12.595.142.656 Bytes frei ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 00B5-87C6 Verzeichnis von C:\WINDOWS\system32 11.11.2008 10:14 62.678 perfc009.dat 11.11.2008 10:14 416.044 perfh007.dat 11.11.2008 10:14 401.398 perfh009.dat 11.11.2008 10:14 75.392 perfc007.dat 11.11.2008 10:14 966.250 PerfStringBackup.INI 10.11.2008 10:27 90 spupdwxp.log 10.11.2008 10:26 2.206 wpa.dbl 10.11.2008 10:26 95.072 FNTCACHE.DAT 07.11.2008 20:02 208.276 TZLog.log 07.11.2008 10:51 2.080 sdkinst.log 07.11.2008 10:38 48 ezsidmv.dat 07.11.2008 09:52 100 LuResult.txt 07.11.2008 09:48 146.650 BuzzingBee.wav 07.11.2008 09:48 940.794 LoopyMusic.wav 07.11.2008 09:38 1.755 Ursula Admin_KBD.ini 07.11.2008 09:29 4.300 MEMIO.SYS 07.11.2008 09:14 23.392 nscompat.tlb 07.11.2008 09:14 16.832 amcompat.tlb 07.11.2008 09:09 442 $winnt$.inf 07.11.2008 09:07 2.951 CONFIG.NT 07.11.2008 09:06 488 logonui.exe.manifest 07.11.2008 09:06 488 WindowsLogon.manifest 07.11.2008 09:06 749 sapi.cpl.manifest 07.11.2008 09:06 749 wuaucpl.cpl.manifest 07.11.2008 09:06 749 cdplayer.exe.manifest 07.11.2008 09:06 749 nwc.cpl.manifest 07.11.2008 09:06 749 ncpa.cpl.manifest 07.11.2008 09:04 21.740 emptyregdb.dat 07.11.2008 08:56 0 h323log.txt 15.10.2008 17:35 337.408 netapi32.dll 07.10.2008 12:19 16.721.856 MRT.exe 03.10.2008 17:58 6.066.176 ieframe.dll 15.09.2008 16:24 1.846.528 win32k.sys ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 00B5-87C6 Verzeichnis von C:\WINDOWS\Prefetch 11.11.2008 10:49 11.176 FIND.EXE-0EC32F1E.pf 11.11.2008 10:49 17.714 CMD.EXE-087B4001.pf 11.11.2008 10:46 121.022 NOTEPAD.EXE-336351A9.pf 11.11.2008 10:40 34.734 AVWSC.EXE-3AC95876.pf 11.11.2008 10:37 61.900 VUNDOFIX.EXE-23F5DD09.pf 11.11.2008 10:36 33.412 VERCLSID.EXE-3667BD89.pf 11.11.2008 10:36 26.426 WMIPRVSE.EXE-28F301A9.pf 11.11.2008 10:36 51.388 HIJACKTHIS.EXE-39024128.pf 11.11.2008 10:35 41.902 MBAM.EXE-11D8BBD8.pf 11.11.2008 10:34 13.802 JAVAWS.EXE-23F12ADD.pf 11.11.2008 10:34 52.478 JAVAW.EXE-317188E1.pf 11.11.2008 10:34 189.524 MSIEXEC.EXE-2F8A8CAE.pf 11.11.2008 10:34 23.912 WUAUCLT.EXE-399A8E72.pf 11.11.2008 10:34 69.992 RUNDLL32.EXE-13404D23.pf 11.11.2008 10:31 29.394 WINRAR.EXE-3588DFE8.pf 11.11.2008 10:15 38.788 SLUSELFUPDATECLIENT.EXE-259815E0.pf 11.11.2008 10:14 31.664 WMIADAP.EXE-2DF425B2.pf 11.11.2008 10:14 89.948 THUNDERBIRD.EXE-031A6371.pf 11.11.2008 10:13 84.436 PIDGIN.EXE-2C4BB40A.pf 11.11.2008 10:11 9.590 WSCNTFY.EXE-1B24F5EB.pf 11.11.2008 10:11 79.324 CLI.EXE-02B0DB56.pf 11.11.2008 10:11 100.044 FIREFOX.EXE-1D57670A.pf 11.11.2008 10:11 20.586 WMIAPSRV.EXE-1E2270A5.pf 11.11.2008 10:11 75.776 BTSTAC~1.EXE-2BF86A68.pf 11.11.2008 10:11 87.224 SVCHOST.EXE-3530F672.pf 11.11.2008 10:11 1.124.056 NTOSBOOT-B00DFAAD.pf 11.11.2008 08:13 27.870 RUNDLL32.EXE-147710F4.pf 11.11.2008 08:08 64.184 SETUP.EXE-053FD5C7.pf 11.11.2008 08:05 77.450 UPDATE.EXE-295C6AF0.pf 11.11.2008 08:04 79.574 UPDATE.EXE-11E72D66.pf 11.11.2008 08:04 79.288 UPDATE.EXE-1D864FBE.pf 11.11.2008 08:03 21.954 LOGONUI.EXE-0AF22957.pf 11.11.2008 08:03 12.644 MAKEADHOC.EXE-02FE5DB4.pf 11.11.2008 01:11 70.034 GUARDGUI.EXE-3AFB6D88.pf 11.11.2008 01:11 485.282 Layout.ini 10.11.2008 21:12 86.642 UPDATE.EXE-2E548A0A.pf 10.11.2008 21:11 28.996 STRMSERVER.EXE-1708F5B6.pf 10.11.2008 21:11 34.956 REMOTERM.EXE-278571CC.pf 10.11.2008 21:11 48.464 DEVICEINSTALL.EXE-312D0810.pf 10.11.2008 21:11 29.468 VIDEOCONTROL.EXE-17C44C40.pf 10.11.2008 21:11 54.084 WEBUPDATER.EXE-02A6F692.pf 10.11.2008 21:11 68.042 PMCLOADER.EXE-02B2B9C2.pf 10.11.2008 21:05 18.144 TASKMGR.EXE-20256C55.pf 10.11.2008 21:05 5.240 SETTINGS.EXE-0C09BE35.pf 10.11.2008 21:03 15.828 DXVAINFO.EXE-3A683EE1.pf 10.11.2008 21:02 58.168 PMC.EXE-20324B0C.pf 10.11.2008 20:43 88.150 UPDATE.EXE-302279DB.pf 10.11.2008 19:43 37.388 SKYPEPM.EXE-03F1BFBD.pf 10.11.2008 19:42 70.224 SKYPE.EXE-21F19BC8.pf 10.11.2008 19:36 14.448 BTTRAY.EXE-39EE8F25.pf 10.11.2008 19:36 14.326 RUNDLL32.EXE-25FFC923.pf 10.11.2008 19:36 10.470 AGRSMMSG.EXE-0034A7F7.pf 10.11.2008 19:36 11.300 EDSAGENT.EXE-26E97261.pf 10.11.2008 19:36 44.636 RTHDCPL.EXE-06918CFA.pf 10.11.2008 19:36 9.728 JUSCHED.EXE-2C0A3285.pf 10.11.2008 19:36 32.802 SBPFCL.EXE-022A806A.pf 10.11.2008 19:36 17.004 USERINIT.EXE-30B18140.pf 10.11.2008 19:36 25.572 ATI2EVXX.EXE-19D16EB9.pf 10.11.2008 19:36 69.234 EXPLORER.EXE-082F38A9.pf 10.11.2008 16:20 97.566 REGSVR32.EXE-25EEFE2F.pf 10.11.2008 16:08 25.336 PV.CFEXE-0E6F2701.pf 10.11.2008 16:08 9.336 SWREG.CFEXE-2BF4FFCD.pf 10.11.2008 16:08 12.846 CF27216.EXE-1744545F.pf 10.11.2008 16:08 4.746 SED.CFEXE-268D7E58.pf 10.11.2008 16:08 11.472 NIRCMD.CFEXE-19FF4781.pf 10.11.2008 16:08 6.072 CHCP.COM-18156052.pf 10.11.2008 15:34 4.072 GREP.CFEXE-20443039.pf 10.11.2008 15:33 11.098 FINDSTR.EXE-0CA6274B.pf 10.11.2008 15:33 25.574 NIRCMD.COM-10563DC3.pf 10.11.2008 15:32 7.458 SWREG.EXE-0937BD77.pf 10.11.2008 12:50 184.236 DUMPREP.EXE-1B46F901.pf 71 Datei(en) 4.731.618 Bytes 0 Verzeichnis(se), 12.574.580.736 Bytes frei ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 00B5-87C6 Verzeichnis von C:\WINDOWS 11.11.2008 10:12 1.234.039 WindowsUpdate.log 11.11.2008 10:10 0 0.log 11.11.2008 10:09 2.048 bootstat.dat 11.11.2008 08:33 4.450 SchedLgU.Txt 11.11.2008 08:05 7.077 tsoc.log 11.11.2008 08:05 1.393 imsins.log 11.11.2008 08:05 2.940 iis6.log 11.11.2008 08:05 6.066 comsetup.log 11.11.2008 08:05 3.687 ntdtcsetup.log 11.11.2008 08:05 1.026 ocmsn.log 11.11.2008 08:05 24.052 KB956390-IE7.log 11.11.2008 08:05 927 msgsocm.log 11.11.2008 08:05 8.868 ocgen.log 11.11.2008 08:05 18.549 FaxSetup.log 11.11.2008 08:05 30.349 setupapi.log 11.11.2008 08:05 4.680 updspapi.log 11.11.2008 08:04 1.393 imsins.BAK 11.11.2008 08:04 11.887 KB951978.log 11.11.2008 08:04 6.665 KB938127-v2-IE7.log 11.11.2008 08:04 0 setuperr.log 11.11.2008 08:04 0 setupact.log 10.11.2008 18:25 514 win.ini 10.11.2008 18:25 227 system.ini 07.11.2008 10:37 0 nsreg.dat 07.11.2008 09:14 316.640 WMSysPr9.prx 07.11.2008 09:10 8.192 REGLOCS.OLD 07.11.2008 09:07 0 control.ini 07.11.2008 09:07 4.161 ODBCINST.INI 07.11.2008 09:06 749 WindowsShell.Manifest 07.11.2008 09:04 36 vb.ini 07.11.2008 09:04 37 vbaddin.ini ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 00B5-87C6 Verzeichnis von C:\WINDOWS\tasks 11.11.2008 10:10 6 SA.DAT 04.08.2004 13:00 65 desktop.ini 2 Datei(en) 71 Bytes 0 Verzeichnis(se), 12.537.081.856 Bytes frei ----- Wintemp -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 00B5-87C6 Verzeichnis von C:\WINDOWS\temp ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 00B5-87C6 Verzeichnis von C:\DOKUME~1\URSULA~1\LOKALE~1\Temp 11.11.2008 10:51 114.172 filelist.txt 11.11.2008 10:37 32.768 ~DFB574.tmp 11.11.2008 10:35 311.296 ~DF333E.tmp 11.11.2008 10:34 1.084 jusched.log 11.11.2008 10:34 578 java_install_reg.log 11.11.2008 10:11 16.384 Perflib_Perfdata_ef0.dat 11.11.2008 10:11 16.384 Perflib_Perfdata_f00.dat 11.11.2008 10:11 0 etilqs_D5ipYUCZ69JjyT1ZJmWQ 11.11.2008 10:10 16.384 Perflib_Perfdata_624.dat 11.11.2008 10:10 0 JET119E.tmp 11.11.2008 10:10 344.064 ~DFBD82.tmp 11.11.2008 08:08 74.256 {5A2E182D-AD15-475A-B924-B1A20D4B8B7F}background.png 11.11.2008 08:08 41.561 {5A2E182D-AD15-475A-B924-B1A20D4B8B7F}Titan.ico 10.11.2008 19:38 2.278 UpdatePMC495.xml 10.11.2008 19:36 344.064 ~DFA5BA.tmp 10.11.2008 18:24 344.064 ~DFD9DA.tmp 10.11.2008 16:32 344.064 ~DFFF24.tmp 10.11.2008 16:30 344.064 ~DF52B.tmp 10.11.2008 16:30 20.859 Turkish.bin 10.11.2008 16:30 20.608 Norwegian.bin 10.11.2008 16:30 24.446 Hungarian.bin 10.11.2008 16:30 18.436 Hebrew.bin 10.11.2008 16:30 21.562 Finnish.bin 10.11.2008 16:30 22.862 Czech.bin 10.11.2008 16:30 23.522 Portuguese(Brazil).bin 10.11.2008 16:30 22.606 Polish.bin 10.11.2008 16:30 23.467 Greek.bin 10.11.2008 16:30 20.733 Thai.bin 10.11.2008 16:30 19.506 Arabic.bin 10.11.2008 16:30 15.534 SimChin.bin 10.11.2008 16:30 21.773 English.bin 10.11.2008 16:30 24.654 Portuguese.bin 10.11.2008 16:30 22.684 SWEDISH.bin 10.11.2008 16:30 26.062 Spanish.bin 10.11.2008 16:30 24.638 Russian.bin 10.11.2008 16:30 25.824 Italian.bin 10.11.2008 16:30 24.274 German.bin 10.11.2008 16:30 25.665 French.bin 10.11.2008 16:30 16.913 TradChin.bin 10.11.2008 16:30 24.173 Dutch.bin 10.11.2008 16:30 22.856 Danish.bin 10.11.2008 16:30 18.978 Korean.bin 10.11.2008 16:30 22.809 Japanese.bin 10.11.2008 15:29 344.064 ~DFA77D.tmp 44 Datei(en) 3.246.973 Bytes 0 Verzeichnis(se), 12.537.077.760 Bytes frei --------------------------------------------------------------------------------------- Was bedeuten diese Sprachen.bin????? Vielen Dank !!!! WEr kann mit weiterhelfen????? Bin ich virenfrei??? Oder soll ich neuinstallieren???? DANKE! Rexina Geändert von Rexina (11.11.2008 um 10:59 Uhr) |
12.11.2008, 06:21 | #5 | |
| TR/Vundo.Gen beseitigt? Hallo ich habe jetzt nix weiter gefunden, aber das Log von Combofix würde mich noch interessieren. Zitat:
Da kommen einige Programme oder Spiele in Frage, evtl. bekommst mehr Infos, wenn du eine der Dateien mit der rechten Maustaste anklickst und dich mal durch die Eigenschaften wühlst. MFG P.S. Bei deiner Tastatur scheint die Taste ß?\ zu klemmen
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ Geändert von nochdigger (12.11.2008 um 06:30 Uhr) |
Themen zu TR/Vundo.Gen beseitigt? |
.dll, adobe, antivirus, avira, bho, bonjour, browser, combofix, computer, explorer, firewall, helper, hijack, hkus\s-1-5-18, internet, internet explorer, logfile, löschen, microsoft, programme, registrierungsschlüssel, sekunden, senden, software, system, tr/vundo.gen, trojanerfund, vielen dank, windows xp, windows xp sp3, xp sp3 |