| |
| |||||||
Log-Analyse und Auswertung: TR Vundo.gen Befall und noch weitere?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
04.12.2008, 19:43
| #1 |
| |  TR Vundo.gen Befall und noch weitere? Hallo Zusammen! Habe bisher nur gutes über euer Forum gelesen und hoffe Ihr könnt mir helfen! Habe seit ein paar Tagen immer wieder popups von Antivir (ca.4 in folge) mit Meldungen über TR/Vundo.gen und andere. klick immer auf löschen, aber das scheint nicht zu funktionieren. Habe zusätzlich jetzt Malwarebytes heruntergeladen und installiert. Allerdings funktioniert das Updaten nicht. Auch SUPERAntiSpyware kann nicht updaten. Sicher hat das auch was mit dem Virus zu tun. Habe bei meiner bisherigen recherche gesehn das man die Systemwiederherstellung deaktivieren soll(gemacht) und versteckte Dateien anzeigen lassen(gemacht) soll. Außerdem hab ich jegliche Javasoftware in Systemsteuerung/Software deinstalliert. Dabei entdeckte ich außerdem eine Programm Mirar, das ich nicht deinstallieren konnte. Weitere suche ergab: auch das ein Virus/adware. Ohje.... Dachte immer ich sei vor sowas gefeit. Bitte hilfe!! Anbei das Avira Antivir Logfile des letzten scans und das HijackThis Logfile. Was soll ich machen? Werden sonst noch Logfiles benötigt? Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 4. Dezember 2008 18:37
Es wird nach 1073970 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Benni
Computername: CHECKTHIS
Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 17:29:39
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 21:34:39
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 20:08:05
ANTIVIR2.VDF : 7.1.0.160 571392 Bytes 30.11.2008 15:38:13
ANTIVIR3.VDF : 7.1.0.188 199680 Bytes 04.12.2008 16:46:14
Engineversion : 8.2.0.41
AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 18:20:58
AESCRIPT.DLL : 8.1.1.17 336251 Bytes 04.12.2008 16:46:17
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 17:30:00
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 17:30:07
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 20:07:29
AEOFFICE.DLL : 8.1.0.31 196987 Bytes 04.12.2008 16:46:16
AEHEUR.DLL : 8.1.0.74 1519990 Bytes 04.12.2008 16:46:16
AEHELP.DLL : 8.1.2.0 119159 Bytes 19.11.2008 10:02:07
AEGEN.DLL : 8.1.1.6 323955 Bytes 28.11.2008 18:09:24
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 18:20:54
AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 18:09:23
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 18:20:53
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 30.09.2008 15:43:32
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Donnerstag, 4. Dezember 2008 18:37
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Adobelmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Adobelm_Cleanup.0001' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrodist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvraidservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '52' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Benni\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\opr02GQ9
[0] Archivtyp: PDF Stream
--> Object
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.QG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49aa16be.qua' verschoben!
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPZI8OMQ\swflash[2].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PDQYO324\1[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.ageu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4969171c.qua' verschoben!
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJLXIHIN\apstpldr.dll[1].htm
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ab1739.qua' verschoben!
C:\WINDOWS\system32\paso.el
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.ageu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ab1c31.qua' verschoben!
Ende des Suchlaufs: Donnerstag, 4. Dezember 2008 19:06
Benötigte Zeit: 28:27 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
3081 Verzeichnisse wurden überprüft
310468 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
310463 Dateien ohne Befall
2650 Archive wurden durchsucht
2 Warnungen
4 Hinweise
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:26:58, on 04.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\nvraidservice.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\AcroDist.exe C:\DOKUME~1\***\LOKALE~1\Temp\Adobelm_Cleanup.0001 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe C:\WINDOWS\System32\wbem\unsecapp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\rundll32.exe C:\Dokumente und Einstellungen\Benni\Desktop\HiJackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe" O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222789003937 O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: c0023AED - c0023AED.mat (file missing) O20 - Winlogon Notify: sys32 - sys32.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 5918 bytes |
|
04.12.2008, 22:19
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | TR Vundo.gen Befall und noch weitere? Hallo und
__________________ Acker diese Punkte für weitere Analysen ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\WINDOWS\system32\prunnet.exe
3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!! 5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 6.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________ |
|
04.12.2008, 23:56
| #3 |
| | TR Vundo.gen Befall und noch weitere? Hey!
__________________Habe die Punkte wie folgt abgearbeitet: 1.) Ich habe die Ordneroption genau nach Anleitung umgestellt, kann aber prunnet.exe nicht finden. Was nun? 2.) Systemwiderherstellung ist deaktiviert. 3.)MBR Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Code:
ATTFilter 12/04/08 23:03:38 [Info]: BlackLight Engine 2.2.1092 initialized
12/04/08 23:03:38 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/04/08 23:03:38 [Note]: 7019 4
12/04/08 23:03:38 [Note]: 7005 0
12/04/08 23:03:43 [Note]: 7006 0
12/04/08 23:03:43 [Note]: 7011 1576
12/04/08 23:03:43 [Note]: 7035 0
12/04/08 23:03:43 [Note]: 7026 0
12/04/08 23:03:43 [Note]: 7026 0
12/04/08 23:03:44 [Note]: FSRAW library version 1.7.1024
Code:
ATTFilter Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 5.1.2600 Service Pack 3
04.12.2008 23:32:27
mbam-log-2008-12-04 (23-32-20).txt
Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|)
Durchsuchte Objekte: 103283
Laufzeit: 18 minute(s), 11 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sys32 (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet (Trojan.Agent) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\****\Anwendungsdaten\NI.GSCNS (Trojan.Agent) -> No action taken.
Infizierte Dateien:
C:\Dokumente und Einstellungen\****\Anwendungsdaten\NI.GSCNS\dl.ini (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\NI.GSCNS\settings.ini (Trojan.Agent) -> No action taken.
http://www.file-upload.net/download-1296433/Startup-Programs--CHECKTHIS--2008-12-04-23.35.01.txt.html 6.) ComboFix: Code:
ATTFilter ComboFix 08-12-04.04 - Benni 2008-12-04 23:48:53.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1582 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Benni\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\Benni\Anwendungsdaten\NI.GSCNS
c:\dokumente und einstellungen\Benni\Anwendungsdaten\NI.GSCNS\dl.ini
c:\dokumente und einstellungen\Benni\Anwendungsdaten\NI.GSCNS\settings.ini
c:\programme\INSTALL.LOG
c:\windows\system32\sX3i19
c:\windows\Tasks\dhupkulu.job
----- BITS: Eventuell infizierte Webseiten -----
hxxp://kakoitodomen.com
hxxp://childhe.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-11-04 bis 2008-12-04 ))))))))))))))))))))))))))))))
.
2008-12-04 23:41 . 2008-12-04 23:41 <DIR> d-------- c:\programme\CCleaner
2008-12-03 17:59 . 2008-12-04 23:09 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-03 17:59 . 2008-12-03 17:59 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2008-12-03 17:59 . 2008-12-03 17:59 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-03 17:59 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-03 17:59 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-01 16:07 . 2008-12-01 16:07 <DIR> d--h----- c:\windows\system32\CanonIJ Uninstaller Information
2008-12-01 16:07 . 2008-12-01 16:07 <DIR> d--h----- c:\programme\CanonBJ
2008-12-01 16:07 . 2008-12-01 16:07 <DIR> d--h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-12-01 16:07 . 2008-04-22 06:00 230,912 --a------ c:\windows\system32\CNMLM9A.DLL
2008-12-01 16:04 . 2008-12-01 16:30 <DIR> d-------- c:\programme\Canon
2008-11-26 17:58 . 2008-11-26 17:58 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-25 17:58 . 2008-11-25 17:58 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\2DBoy
2008-11-22 17:49 . 2008-12-01 21:03 <DIR> d-------- c:\programme\Garena
2008-11-22 17:49 . 2008-11-22 17:49 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\InstallShield
2008-11-16 12:37 . 2008-11-16 12:37 <DIR> d-------- c:\windows\Sun
2008-11-14 11:27 . 2008-11-14 11:27 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\pdf995
2008-11-14 11:27 . 2008-11-14 11:27 28 --a------ c:\windows\pdf995.ini
2008-11-14 11:25 . 2008-11-14 11:26 <DIR> d-------- c:\programme\pdf995
2008-11-14 11:25 . 2008-11-25 13:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\pdf995
2008-11-14 11:25 . 2008-11-14 11:25 249,856 --a------ c:\windows\system32\pdfmona.dll
2008-11-14 11:25 . 2008-11-14 11:25 51,716 --a------ c:\windows\system32\pdf995mon.dll
2008-11-14 11:25 . 2008-11-25 13:26 60 --a------ c:\windows\wpd99.drv
2008-11-12 23:35 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 23:34 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-11 18:26 . 2008-11-11 18:26 <DIR> d-------- c:\programme\SUPERAntiSpyware
2008-11-11 18:26 . 2008-11-11 18:26 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-11-11 18:26 . 2008-11-11 18:26 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\SUPERAntiSpyware.com
2008-11-11 18:26 . 2008-11-11 18:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-11-11 18:25 . 2008-11-11 18:25 0 --a------ c:\windows\nsreg.dat
2008-11-10 23:44 . 2008-11-10 23:44 0 --a------ c:\windows\ynh.dx
2008-11-10 19:42 . 2008-11-23 17:03 <DIR> d-------- C:\Temp
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-01 14:45 --------- d-----w c:\programme\HP
2008-12-01 14:45 --------- d-----w c:\programme\Hewlett-Packard
2008-11-25 12:25 --------- d-----w c:\dokumente und einstellungen\Benni\Anwendungsdaten\OpenOffice.org2
2008-11-24 19:49 --------- d-----w c:\programme\mIRC
2008-11-22 16:49 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-16 15:29 --------- d-----w c:\programme\ICQ
2008-11-03 17:49 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-10-24 12:47 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-21 18:59 --------- d-----w c:\programme\SopCast
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-15 09:14 --------- d-----w c:\dokumente und einstellungen\Benni\Anwendungsdaten\dvdcss
2008-10-06 23:29 --------- d-----w c:\programme\MSXML 4.0
2008-10-05 22:02 --------- d-----w c:\dokumente und einstellungen\Benni\Anwendungsdaten\DivX
2008-10-05 12:12 --------- d-----w c:\dokumente und einstellungen\Benni\Anwendungsdaten\HP
2008-10-05 11:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2008-10-05 11:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sonic
2008-10-05 11:10 --------- d-----w c:\programme\Gemeinsame Dateien\Hewlett-Packard
2008-10-04 13:32 --------- d-----w c:\programme\DivX
2008-10-01 13:04 60,416 ----a-w c:\windows\ALCFDRTM.EXE
2008-09-30 21:30 2,829 ----a-w c:\windows\War3Unin.pif
2008-09-30 21:30 139,264 ----a-w c:\windows\War3Unin.exe
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-16 19:27 453,152 ----a-w c:\windows\system32\NVUNINST.EXE
2008-09-16 00:14 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-09-16 00:14 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-09-16 00:14 129,784 ------w c:\windows\system32\pxafs.dll
2008-09-16 00:14 120,056 ------w c:\windows\system32\pxcpyi64.exe
2008-09-16 00:14 118,520 ------w c:\windows\system32\pxinsi64.exe
2008-09-16 00:12 81,920 ----a-w c:\windows\system32\dpl100.dll
2008-09-16 00:12 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-09-16 00:12 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-09-16 00:12 53,248 ----a-w c:\windows\system32\dpuGUI10.dll
2008-09-16 00:12 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu11.dll
2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu10.dll
2008-09-16 00:12 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-09-16 00:12 196,608 ----a-w c:\windows\system32\dtu100.dll
2008-09-16 00:12 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-09-16 00:11 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-09-16 00:11 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-09-16 00:11 683,520 ----a-w c:\windows\system32\DivX.dll
2008-09-16 00:11 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-09-16 00:11 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ------w c:\windows\system32\msxml6.dll
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVRaidService"="c:\windows\System32\nvraidservice.exe" [2005-01-17 84480]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2008-09-17 13574144]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2008-09-17 86016]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2008-03-18 1848648]
"nwiz"="nwiz.exe" [2008-09-17 c:\windows\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 c:\windows\soundman.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 c:\programme\SUPERAntiSpyware\SASWINLO.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ\\Icq.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"f:\\BF2\\BF2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Garena\\Garena.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2453:UDP"= 2453:UDP:Windows Media Format SDK (opera.exe)
"2452:UDP"= 2452:UDP:Windows Media Format SDK (opera.exe)
"2455:UDP"= 2455:UDP:Windows Media Format SDK (opera.exe)
R0 avgntmgr;avgntmgr;c:\windows\system32\DRIVERS\avgntmgr.sys [2008-09-30 22336]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2008-09-30 45376]
R1 SASDIFSV;SASDIFSV;\??\c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2008-09-03 8944]
R1 SASKUTIL;SASKUTIL;\??\c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2008-09-03 55024]
R3 SASENUM;SASENUM;\??\c:\programme\SUPERAntiSpyware\SASENUM.SYS [2008-09-03 7408]
*Newly Created Service* - CATCHME
*Newly Created Service* - MBR
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{BB20C96E-2EDF-4D92-9516-E3A9F3403380} - (no file)
Notify-c0023AED - c0023AED.mat
Notify-sys32 - sys32.dll
.
------- Zusätzlicher Suchlauf -------
.
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FireFox -: Profile - c:\dokumente und einstellungen\Benni\Anwendungsdaten\Mozilla\Firefox\Profiles\2ejfxqu7.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.spiegel.de
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Acrobat\browser\nppdf32.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npdeploytk.dll
FF -: plugin - c:\programme\Opera\program\plugins\npdivx32.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-04 23:49:26
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(668)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2008-12-04 23:49:54
ComboFix-quarantined-files.txt 2008-12-04 22:49:44
Vor Suchlauf: 11 Verzeichnis(se), 137.279.172.608 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 137,310,756,864 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
203 --- E O F --- 2008-11-12 22:42:49
7.) filelisting anbei der link http://www.file-upload.net/download-1296389/listing.txt.html 8.) Neues HijackThis Logfile Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:54:30, on 04.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\nvraidservice.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wbem\unsecapp.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\imapi.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Benni\Desktop\qlketzd.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222789003937 O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 5710 bytes |
|
09.12.2008, 13:10
| #4 |
| | TR Vundo.gen Befall und noch weitere? Hallo Zusammen! Hab die Punkte wie oben genannt abgearbeitet! Kann mir jemand weiterhelfen? Bin ich jetzt "clean" und weiß es nur nich? :P Habe seit dem übrigens keine Popups von antivir mehr gehabt, aber immer noch das programm mirar in "Software" drin. Denke mal da ist noch eingies im argen! |
|
27.12.2008, 13:19
| #5 |
| | TR Vundo.gen Befall und noch weitere? Hallo Zusammen! Habe vor einiger Zeit diesen Thread eröffnet und die Tips abgearbeitet. War danach, zumindest was die symptome angeht, vom Vundo.Gen befreit. Seit heute meldet mir Antivir allerdings wieder den Virus! Des weiteren Deaktiviert er mir die Windows Firewall. Was soll ich tun um nachhaltig davon verschont zu bleiben? Im moment arbeite ich die Liste ein zweites mal ab, da es beim letzten mal ja zumindest zeitweise half, denke aber das das auf dauer keine lösung ist. Aus welchen Quellen kann der virus kommen? Bin niemand der auf komischen Websites unterwegs ist. Bitte helft mir! Mfg |
|
27.12.2008, 13:28
| #6 |
| | TR Vundo.gen Befall und noch weitere? Habe die prunnet.exe datei diesmal finden können und nach Punkt 1) der Tips bei Virustotal überprüft Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared - - -
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - SHeur2.HSF
BitDefender - - -
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
Comodo - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - Trojan-Downloader.Win32.VB.jty
McAfee - - -
McAfee+Artemis - - -
Microsoft - - Trojan:Win32/VB.GM
NOD32 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - Malicious Software
Rising - - -
SecureWeb-Gateway - - -
Sophos - - Troj/AdClick-FG
Sunbelt - - -
Symantec - - Trojan.Adclicker
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
weitere Informationen
MD5: c759938189310b0164f0f39a447f7c3b
SHA1: dada6b953d342aa1656af8b3c635098a80ee8fb2
SHA256: f5ab3b60ff431dbffd2c9adae6aceca9d2ef4ddeb211ea46e79b87b0587d7bf4
SHA512: 632390112e2a3828e77126f8618a9f8a22925bd4c5b909eab92ce09f7d61fa533fb740a4a41d31bf579de13078c2cea070e319c3301f2043346d20f14967289e
|
|
| Themen zu TR Vundo.gen Befall und noch weitere? |
| 0 bytes, antivir, antivirus, avgnt.exe, avira, bho, content.ie5, desktop, einstellungen, ellung, firefox.exe, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, jusched.exe, konvertieren, logfile, logon.exe, mozilla, net.exe, nt.dll, pdf-datei, programm, prozesse, registry, rundll, server, services.exe, suchlauf, svchost.exe, tr/vundo.gen, verweise, virus, virus gefunden, vundo.gen, warnung, was soll ich machen, windows, windows xp sp3, xp sp3 |
Linear-Darstellung
