| |
| |||||||
Log-Analyse und Auswertung: Trojaner VundoWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.12.2008, 17:05
| #1 |
 |  Trojaner Vundo Hi, vor ein paar Tagen schlug plötzlich mein Antivir an, ohne dass ich etwas gemacht oder installiert hatte. Infizierte Dateien hab ich gelöscht, jedoch habe ich damit nicht alles bereinigen können und wollte zunächst versuchen, das Problem ohne Neuaufsetzen zu lösen. Im system32-Ordner von Win befindet sich eine "tuvWpqPI.dll", welche sich nicht löschen lässt und bei diversen Onlinescannern als infiziert eingestuft wurde. Wie einige andere hier öffnen sich bei mir hin und wieder Werbepopups (als neue Browserfenster) und ich soll mir davon VirusRemover Pro oder Antivir 2009 herunter laden etc. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:43:59, on 01.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20900) Boot mode: Normal Running processes: D:\WINDOOF\System32\smss.exe D:\WINDOOF\system32\csrss.exe D:\WINDOOF\system32\winlogon.exe D:\WINDOOF\system32\services.exe D:\WINDOOF\system32\lsass.exe D:\WINDOOF\system32\Ati2evxx.exe D:\WINDOOF\system32\svchost.exe D:\WINDOOF\system32\svchost.exe D:\WINDOOF\System32\svchost.exe D:\WINDOOF\system32\svchost.exe D:\WINDOOF\system32\svchost.exe D:\WINDOOF\system32\Ati2evxx.exe D:\WINDOOF\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\FRITZ!DSL\IGDCTRL.EXE D:\WINDOOF\System32\PAStiSvc.exe D:\WINDOOF\system32\svchost.exe D:\WINDOOF\System32\alg.exe D:\WINDOOF\system32\wscntfy.exe D:\WINDOOF\Explorer.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\WINDOOF\RTHDCPL.EXE D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE D:\Programme\HP\HP Software Update\HPWuSchd2.exe D:\programme\powerstrip\pstrip.exe D:\programme\steam\steam.exe D:\Programme\Windows Live\Messenger\MsnMsgr.Exe D:\WINDOOF\system32\ctfmon.exe D:\Programme\DAEMON Tools Lite\daemon.exe D:\Programme\FRITZ!DSL\StCenter.exe D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe D:\Programme\Logitech\SetPoint\SetPoint.exe D:\Programme\FRITZ!DSL\FritzDsl.exe D:\WINDOOF\System32\svchost.exe D:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe D:\Programme\HP\Digital Imaging\bin\hpqimzone.exe D:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE D:\Programme\Windows Live\Messenger\usnsvc.exe D:\Programme\Winamp\winamp.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - D:\WINDOOF\system32\tuvWpqPI.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: Mirar - {9EB7217A-A26F-4EC8-BA76-0C15B76A2D0E} - D:\WINDOOF\system32\winol77.dll O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe " O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [StartCCC] "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [NeroFilterCheck] D:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [PowerStrip] d:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOOF\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOOF\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOOF\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOOF\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOOF\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Startup: FRITZ!DSL Internet.lnk = D:\Programme\FRITZ!DSL\FritzDsl.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = D:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - D:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOOF\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOOF\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: , xzkslk.dll O20 - Winlogon Notify: tuvWpqPI - D:\WINDOOF\SYSTEM32\tuvWpqPI.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOOF\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOOF\system32\ati2sgag.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - D:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe O23 - Service: NBService - Nero AG - D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOOF\system32\HPZipm12.exe O23 - Service: STI Simulator - Unknown owner - D:\WINDOOF\System32\PAStiSvc.exe -- End of file - 8582 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1441
Windows 5.1.2600 Service Pack 2
01.12.2008 17:00:45
mbam-log-2008-12-01 (17-00-40).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 140538
Laufzeit: 51 minute(s), 18 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 5
Infizierte Registrierungsschlüssel: 15
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 24
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
D:\WINDOOF\system32\origaqva.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\pmnmkjgf.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\tuvWpqPI.dll (Trojan.Vundo) -> No action taken.
D:\WINDOOF\system32\ttqktiap.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\egrwws.dll (Trojan.Vundo.H) -> No action taken.
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvwpqpi (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c226ae59-46dc-4ea3-a57d-cf5be25c928e} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c226ae59-46dc-4ea3-a57d-cf5be25c928e} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef442cc1-c0b0-4449-b47e-64a1556853b0} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ef442cc1-c0b0-4449-b47e-64a1556853b0} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\44fc0225 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: d:\windoof\system32\pmnmkjgf -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: d:\windoof\system32\pmnmkjgf -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
D:\WINDOOF\system32\tuvWpqPI.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\egrwws.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\pmnmkjgf.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\fgjkmnmp.ini (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\fgjkmnmp.ini2 (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\enavaetx.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\xteavane.ini (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\origaqva.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\avqagiro.ini (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\ttqktiap.dll (Trojan.Vundo.H) -> No action taken.
C:\Download\Chat\- irc -\mIRC\mirc.exe (Backdoor.Bot) -> No action taken.
D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\qbtbwv.dll.q_73BF801_q.old (Trojan.Vundo) -> No action taken.
D:\Dokumente und Einstellungen\Patrick\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AY72EU60\zc113432[1] (Trojan.Vundo.H) -> No action taken.
D:\Dokumente und Einstellungen\Patrick\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TOMJ6BBG\index[1] (Trojan.Vundo.H) -> No action taken.
D:\System Volume Information\_restore{0FD7E4CF-A3C3-465D-9EFC-03FC73A51610}\RP355\A0055230.dll (Trojan.Vundo) -> No action taken.
D:\System Volume Information\_restore{0FD7E4CF-A3C3-465D-9EFC-03FC73A51610}\RP358\A0055462.dll (Trojan.Vundo) -> No action taken.
D:\System Volume Information\_restore{0FD7E4CF-A3C3-465D-9EFC-03FC73A51610}\RP363\A0055512.dll (Trojan.Vundo.H) -> No action taken.
D:\System Volume Information\_restore{0FD7E4CF-A3C3-465D-9EFC-03FC73A51610}\RP364\A0055515.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\ieqohfdk.dll (Trojan.Vundo) -> No action taken.
D:\WINDOOF\system32\mqmfihsw.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\npgisxsr.dll (Trojan.Vundo) -> No action taken.
D:\WINDOOF\system32\qslozf.dll (Trojan.Vundo) -> No action taken.
D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1doc2pdf.dll (Trojan.Agent) -> No action taken.
D:\WINDOOF\system32\pmnnNdbX.dll (Trojan.Vundo) -> No action taken.
|
| Themen zu Trojaner Vundo |
| adobe, antivir, avira, bho, content.ie5, dsl, einstellungen, excel, explorer, firefox, gservice, hijack, hijackthis, hkus\s-1-5-18, infizierte, infizierte dateien, internet, internet explorer, malware.trace, mozilla, notification, object, problem, programme, registrierungsschlüssel, rundll, software, system, trojaner, vundo, windows, windows xp |
Baum-Darstellung