TR/Vundo.Gen beseitigt?

Rexina · 10.11.2008, 16:45

Hallo,

hatte heute ein Viren-Problem. Und zwar meldete AntiVirus alle paar Sekunden einen TrojanerFund (TR/Vundo.Gen).
Habe dann einiges unternommen: Combofix, Vundofix (ergab keine Ergebnisse) und Anti-Malware (damit konnte ich laut logfile TR/Vundo.Gen löschen).
---------------------------------------------------------------------------
Logfile Anti-Malware:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1379
Windows 5.1.2600 Service Pack 3

10.11.2008 16:27:44
mbam-log-2008-11-10 (16-27-36).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 46412
Laufzeit: 4 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\mlJDtUnN.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f1f1537f-671e-41c2-8b7e-c3042f59c7ed} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljdtunn (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f1f1537f-671e-41c2-8b7e-c3042f59c7ed} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f1f1537f-671e-41c2-8b7e-c3042f59c7ed} (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f1f1537f-671e-41c2-8b7e-c3042f59c7ed} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\mlJDtUnN.dll (Trojan.Vundo.H) -> No action taken.
--------------------------------------------------------------------------
Lofile HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:34:13, on 10.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Samsung\DisplayManager\DisplayManager.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Samsung\DisplayManager\dmhkcore.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DisplayManager.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Power2GoExpress] NA
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Pinnacle Streaming Server.lnk = C:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe

--
End of file - 7451 bytes
--------------------------------------------------------------------------
Was sagen die Experten dazu???? Bin ich wieder virenfrei???? Was ich könnte ich zur Bereinigung noch machen??? Notfalls würd ich auch wieder neuinstallieren. Hab es jetzt erst mal so verssucht, weil ich erst vor kurzen neuinstalliert habe.

Vielen vielen Dank schon mal im Vorraus!

Schönen Gruss
Rexina

nochdigger · 10.11.2008, 22:16

Hallo und

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar, dann deaktiviere bitte die Systemwiederherstellung.
Deinstalliere bitte über

Zitat:

Start -> Einstellungen -> Systemsteuerung -> Software

alle Javaversionen.

Zitat:

Habe dann einiges unternommen: Combofix, Vundofix (ergab keine Ergebnisse)

poste bitte auch das Log von Combofix hierher.

Hast du die Funde von Malwarebytes löschen lassen?

Erstelle bitte ein Log mit der Filelist

Zitat:

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

Rexina · 11.11.2008, 10:46

Hallo und vielen Dank schon mal für die schnelle Antwort,

1. versteckte Dateien und Ordner habe ich sichtbar gemacht, Systemwiederherstellung ist deaktiviert, Java Programme wurden deinstalliert

2. Die Funde von Malware haben sich löschen lassen und hab dies natürlich auch getan. Seitdem meldet Antivirus den Virus auch nicht mehr.

3. => deswegen nach wie vor die Frage von gestern: Bin ich nun virenfrei, daher poste ich nochmal die verschiedenen geforderten Logfiles.

------------------------------------------------------------------------------
Hijackthis Logile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:36:08, on 11.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Samsung\DisplayManager\DisplayManager.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Samsung\DisplayManager\dmhkcore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Pidgin\pidgin.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVStation Premium 3.75] C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [DisplayManager] C:\Programme\Samsung\DisplayManager\DisplayManager.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Power2GoExpress] NA
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Pinnacle Streaming Server.lnk = C:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe

--
End of file - 7272 bytes
--------------------------------------------------------------------------
Lofile Malwarebytes:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1379
Windows 5.1.2600 Service Pack 3

11.11.2008 10:39:39
mbam-log-2008-11-11 (10-39-39).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 46594
Laufzeit: 3 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

(Anmerkung: Den Logfile von Malwarebytes bevor ich den von Antivirus erkannten Trojaner mit Hilfe von Malware gelöscht habe, sieht man in meinem ersten Beitrag!)

Vundofix hat nichts gefunden! Einen Logfile spuckt Vundofix mir nicht aus!

Danke schon mal im Vorraus für Hilfe!

Gruss Rexina

Rexina · 11.11.2008, 10:53

filelist.bat ergab:
Verzeichnis von C:\

11.11.2008 10:37 237 VundoFix.txt
11.11.2008 10:10 73 cj.ini
11.11.2008 10:09 2.145.386.496 pagefile.sys
10.11.2008 18:25 211 boot.ini
10.11.2008 16:08 15.614 ComboFix.txt
09.11.2008 21:31 251.712 ntldr
07.11.2008 09:45 170 Setup.log
07.11.2008 09:25 499 RHDSetup.log
07.11.2008 09:07 0 MSDOS.SYS
07.11.2008 09:07 0 CONFIG.SYS
07.11.2008 09:07 0 IO.SYS
07.11.2008 09:07 0 AUTOEXEC.BAT
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
14 Datei(en) 2.145.707.528 Bytes
0 Verzeichnis(se), 12.595.142.656 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00B5-87C6

Verzeichnis von C:\WINDOWS\system32

11.11.2008 10:14 62.678 perfc009.dat
11.11.2008 10:14 416.044 perfh007.dat
11.11.2008 10:14 401.398 perfh009.dat
11.11.2008 10:14 75.392 perfc007.dat
11.11.2008 10:14 966.250 PerfStringBackup.INI
10.11.2008 10:27 90 spupdwxp.log
10.11.2008 10:26 2.206 wpa.dbl
10.11.2008 10:26 95.072 FNTCACHE.DAT
07.11.2008 20:02 208.276 TZLog.log
07.11.2008 10:51 2.080 sdkinst.log
07.11.2008 10:38 48 ezsidmv.dat
07.11.2008 09:52 100 LuResult.txt
07.11.2008 09:48 146.650 BuzzingBee.wav
07.11.2008 09:48 940.794 LoopyMusic.wav
07.11.2008 09:38 1.755 Ursula Admin_KBD.ini
07.11.2008 09:29 4.300 MEMIO.SYS
07.11.2008 09:14 23.392 nscompat.tlb
07.11.2008 09:14 16.832 amcompat.tlb
07.11.2008 09:09 442 $winnt$.inf
07.11.2008 09:07 2.951 CONFIG.NT
07.11.2008 09:06 488 logonui.exe.manifest
07.11.2008 09:06 488 WindowsLogon.manifest
07.11.2008 09:06 749 sapi.cpl.manifest
07.11.2008 09:06 749 wuaucpl.cpl.manifest
07.11.2008 09:06 749 cdplayer.exe.manifest
07.11.2008 09:06 749 nwc.cpl.manifest
07.11.2008 09:06 749 ncpa.cpl.manifest
07.11.2008 09:04 21.740 emptyregdb.dat
07.11.2008 08:56 0 h323log.txt
15.10.2008 17:35 337.408 netapi32.dll
07.10.2008 12:19 16.721.856 MRT.exe
03.10.2008 17:58 6.066.176 ieframe.dll
15.09.2008 16:24 1.846.528 win32k.sys
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00B5-87C6

Verzeichnis von C:\WINDOWS\Prefetch

11.11.2008 10:49 11.176 FIND.EXE-0EC32F1E.pf
11.11.2008 10:49 17.714 CMD.EXE-087B4001.pf
11.11.2008 10:46 121.022 NOTEPAD.EXE-336351A9.pf
11.11.2008 10:40 34.734 AVWSC.EXE-3AC95876.pf
11.11.2008 10:37 61.900 VUNDOFIX.EXE-23F5DD09.pf
11.11.2008 10:36 33.412 VERCLSID.EXE-3667BD89.pf
11.11.2008 10:36 26.426 WMIPRVSE.EXE-28F301A9.pf
11.11.2008 10:36 51.388 HIJACKTHIS.EXE-39024128.pf
11.11.2008 10:35 41.902 MBAM.EXE-11D8BBD8.pf
11.11.2008 10:34 13.802 JAVAWS.EXE-23F12ADD.pf
11.11.2008 10:34 52.478 JAVAW.EXE-317188E1.pf
11.11.2008 10:34 189.524 MSIEXEC.EXE-2F8A8CAE.pf
11.11.2008 10:34 23.912 WUAUCLT.EXE-399A8E72.pf
11.11.2008 10:34 69.992 RUNDLL32.EXE-13404D23.pf
11.11.2008 10:31 29.394 WINRAR.EXE-3588DFE8.pf
11.11.2008 10:15 38.788 SLUSELFUPDATECLIENT.EXE-259815E0.pf
11.11.2008 10:14 31.664 WMIADAP.EXE-2DF425B2.pf
11.11.2008 10:14 89.948 THUNDERBIRD.EXE-031A6371.pf
11.11.2008 10:13 84.436 PIDGIN.EXE-2C4BB40A.pf
11.11.2008 10:11 9.590 WSCNTFY.EXE-1B24F5EB.pf
11.11.2008 10:11 79.324 CLI.EXE-02B0DB56.pf
11.11.2008 10:11 100.044 FIREFOX.EXE-1D57670A.pf
11.11.2008 10:11 20.586 WMIAPSRV.EXE-1E2270A5.pf
11.11.2008 10:11 75.776 BTSTAC~1.EXE-2BF86A68.pf
11.11.2008 10:11 87.224 SVCHOST.EXE-3530F672.pf
11.11.2008 10:11 1.124.056 NTOSBOOT-B00DFAAD.pf
11.11.2008 08:13 27.870 RUNDLL32.EXE-147710F4.pf
11.11.2008 08:08 64.184 SETUP.EXE-053FD5C7.pf
11.11.2008 08:05 77.450 UPDATE.EXE-295C6AF0.pf
11.11.2008 08:04 79.574 UPDATE.EXE-11E72D66.pf
11.11.2008 08:04 79.288 UPDATE.EXE-1D864FBE.pf
11.11.2008 08:03 21.954 LOGONUI.EXE-0AF22957.pf
11.11.2008 08:03 12.644 MAKEADHOC.EXE-02FE5DB4.pf
11.11.2008 01:11 70.034 GUARDGUI.EXE-3AFB6D88.pf
11.11.2008 01:11 485.282 Layout.ini
10.11.2008 21:12 86.642 UPDATE.EXE-2E548A0A.pf
10.11.2008 21:11 28.996 STRMSERVER.EXE-1708F5B6.pf
10.11.2008 21:11 34.956 REMOTERM.EXE-278571CC.pf
10.11.2008 21:11 48.464 DEVICEINSTALL.EXE-312D0810.pf
10.11.2008 21:11 29.468 VIDEOCONTROL.EXE-17C44C40.pf
10.11.2008 21:11 54.084 WEBUPDATER.EXE-02A6F692.pf
10.11.2008 21:11 68.042 PMCLOADER.EXE-02B2B9C2.pf
10.11.2008 21:05 18.144 TASKMGR.EXE-20256C55.pf
10.11.2008 21:05 5.240 SETTINGS.EXE-0C09BE35.pf
10.11.2008 21:03 15.828 DXVAINFO.EXE-3A683EE1.pf
10.11.2008 21:02 58.168 PMC.EXE-20324B0C.pf
10.11.2008 20:43 88.150 UPDATE.EXE-302279DB.pf
10.11.2008 19:43 37.388 SKYPEPM.EXE-03F1BFBD.pf
10.11.2008 19:42 70.224 SKYPE.EXE-21F19BC8.pf
10.11.2008 19:36 14.448 BTTRAY.EXE-39EE8F25.pf
10.11.2008 19:36 14.326 RUNDLL32.EXE-25FFC923.pf
10.11.2008 19:36 10.470 AGRSMMSG.EXE-0034A7F7.pf
10.11.2008 19:36 11.300 EDSAGENT.EXE-26E97261.pf
10.11.2008 19:36 44.636 RTHDCPL.EXE-06918CFA.pf
10.11.2008 19:36 9.728 JUSCHED.EXE-2C0A3285.pf
10.11.2008 19:36 32.802 SBPFCL.EXE-022A806A.pf
10.11.2008 19:36 17.004 USERINIT.EXE-30B18140.pf
10.11.2008 19:36 25.572 ATI2EVXX.EXE-19D16EB9.pf
10.11.2008 19:36 69.234 EXPLORER.EXE-082F38A9.pf
10.11.2008 16:20 97.566 REGSVR32.EXE-25EEFE2F.pf
10.11.2008 16:08 25.336 PV.CFEXE-0E6F2701.pf
10.11.2008 16:08 9.336 SWREG.CFEXE-2BF4FFCD.pf
10.11.2008 16:08 12.846 CF27216.EXE-1744545F.pf
10.11.2008 16:08 4.746 SED.CFEXE-268D7E58.pf
10.11.2008 16:08 11.472 NIRCMD.CFEXE-19FF4781.pf
10.11.2008 16:08 6.072 CHCP.COM-18156052.pf
10.11.2008 15:34 4.072 GREP.CFEXE-20443039.pf
10.11.2008 15:33 11.098 FINDSTR.EXE-0CA6274B.pf
10.11.2008 15:33 25.574 NIRCMD.COM-10563DC3.pf
10.11.2008 15:32 7.458 SWREG.EXE-0937BD77.pf
10.11.2008 12:50 184.236 DUMPREP.EXE-1B46F901.pf
71 Datei(en) 4.731.618 Bytes
0 Verzeichnis(se), 12.574.580.736 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00B5-87C6

Verzeichnis von C:\WINDOWS

11.11.2008 10:12 1.234.039 WindowsUpdate.log
11.11.2008 10:10 0 0.log
11.11.2008 10:09 2.048 bootstat.dat
11.11.2008 08:33 4.450 SchedLgU.Txt
11.11.2008 08:05 7.077 tsoc.log
11.11.2008 08:05 1.393 imsins.log
11.11.2008 08:05 2.940 iis6.log
11.11.2008 08:05 6.066 comsetup.log
11.11.2008 08:05 3.687 ntdtcsetup.log
11.11.2008 08:05 1.026 ocmsn.log
11.11.2008 08:05 24.052 KB956390-IE7.log
11.11.2008 08:05 927 msgsocm.log
11.11.2008 08:05 8.868 ocgen.log
11.11.2008 08:05 18.549 FaxSetup.log
11.11.2008 08:05 30.349 setupapi.log
11.11.2008 08:05 4.680 updspapi.log
11.11.2008 08:04 1.393 imsins.BAK
11.11.2008 08:04 11.887 KB951978.log
11.11.2008 08:04 6.665 KB938127-v2-IE7.log
11.11.2008 08:04 0 setuperr.log
11.11.2008 08:04 0 setupact.log
10.11.2008 18:25 514 win.ini
10.11.2008 18:25 227 system.ini
07.11.2008 10:37 0 nsreg.dat
07.11.2008 09:14 316.640 WMSysPr9.prx
07.11.2008 09:10 8.192 REGLOCS.OLD
07.11.2008 09:07 0 control.ini
07.11.2008 09:07 4.161 ODBCINST.INI
07.11.2008 09:06 749 WindowsShell.Manifest
07.11.2008 09:04 36 vb.ini
07.11.2008 09:04 37 vbaddin.ini
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00B5-87C6

Verzeichnis von C:\WINDOWS\tasks

11.11.2008 10:10 6 SA.DAT
04.08.2004 13:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 12.537.081.856 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00B5-87C6

Verzeichnis von C:\WINDOWS\temp

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 00B5-87C6

Verzeichnis von C:\DOKUME~1\URSULA~1\LOKALE~1\Temp

11.11.2008 10:51 114.172 filelist.txt
11.11.2008 10:37 32.768 ~DFB574.tmp
11.11.2008 10:35 311.296 ~DF333E.tmp
11.11.2008 10:34 1.084 jusched.log
11.11.2008 10:34 578 java_install_reg.log
11.11.2008 10:11 16.384 Perflib_Perfdata_ef0.dat
11.11.2008 10:11 16.384 Perflib_Perfdata_f00.dat
11.11.2008 10:11 0 etilqs_D5ipYUCZ69JjyT1ZJmWQ
11.11.2008 10:10 16.384 Perflib_Perfdata_624.dat
11.11.2008 10:10 0 JET119E.tmp
11.11.2008 10:10 344.064 ~DFBD82.tmp
11.11.2008 08:08 74.256 {5A2E182D-AD15-475A-B924-B1A20D4B8B7F}background.png
11.11.2008 08:08 41.561 {5A2E182D-AD15-475A-B924-B1A20D4B8B7F}Titan.ico
10.11.2008 19:38 2.278 UpdatePMC495.xml
10.11.2008 19:36 344.064 ~DFA5BA.tmp
10.11.2008 18:24 344.064 ~DFD9DA.tmp
10.11.2008 16:32 344.064 ~DFFF24.tmp
10.11.2008 16:30 344.064 ~DF52B.tmp
10.11.2008 16:30 20.859 Turkish.bin
10.11.2008 16:30 20.608 Norwegian.bin
10.11.2008 16:30 24.446 Hungarian.bin
10.11.2008 16:30 18.436 Hebrew.bin
10.11.2008 16:30 21.562 Finnish.bin
10.11.2008 16:30 22.862 Czech.bin
10.11.2008 16:30 23.522 Portuguese(Brazil).bin
10.11.2008 16:30 22.606 Polish.bin
10.11.2008 16:30 23.467 Greek.bin
10.11.2008 16:30 20.733 Thai.bin
10.11.2008 16:30 19.506 Arabic.bin
10.11.2008 16:30 15.534 SimChin.bin
10.11.2008 16:30 21.773 English.bin
10.11.2008 16:30 24.654 Portuguese.bin
10.11.2008 16:30 22.684 SWEDISH.bin
10.11.2008 16:30 26.062 Spanish.bin
10.11.2008 16:30 24.638 Russian.bin
10.11.2008 16:30 25.824 Italian.bin
10.11.2008 16:30 24.274 German.bin
10.11.2008 16:30 25.665 French.bin
10.11.2008 16:30 16.913 TradChin.bin
10.11.2008 16:30 24.173 Dutch.bin
10.11.2008 16:30 22.856 Danish.bin
10.11.2008 16:30 18.978 Korean.bin
10.11.2008 16:30 22.809 Japanese.bin
10.11.2008 15:29 344.064 ~DFA77D.tmp
44 Datei(en) 3.246.973 Bytes
0 Verzeichnis(se), 12.537.077.760 Bytes frei

---------------------------------------------------------------------------------------
Was bedeuten diese Sprachen.bin?????

Vielen Dank !!!! WEr kann mit weiterhelfen????? Bin ich virenfrei??? Oder soll ich neuinstallieren????

DANKE! Rexina

nochdigger · 12.11.2008, 06:21

Hallo

ich habe jetzt nix weiter gefunden, aber das Log von Combofix würde mich noch interessieren

.

Zitat:

Was bedeuten diese Sprachen.bin?

http://www.endungen.de/ResultList/Re...owAmazon=false
Da kommen einige Programme oder Spiele in Frage, evtl. bekommst mehr Infos, wenn du eine der Dateien mit der rechten Maustaste anklickst und dich mal durch die Eigenschaften wühlst.

MFG

P.S. Bei deiner Tastatur scheint die Taste ß?\ zu klemmen

TR/Vundo.Gen beseitigt?

Log-Analyse und Auswertung: TR/Vundo.Gen beseitigt?