Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
TR-Vundo.gen | mal wieder...

TR-Vundo.gen | mal wieder...


Plagegeister aller Art und deren Bekämpfung: TR-Vundo.gen | mal wieder...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 09.12.2008, 11:37   #1
sacastor
 
TR-Vundo.gen | mal wieder... - Pfeil

TR-Vundo.gen | mal wieder...


Moin,
bin neuling hier, da ich bisher mit meinen viren immer klar gekommen bin. Ich darf jetzt den rechner von ner bekannten fixen, die leider ne dumme mail mit bösem anhang geöffnet hat^^

Naja wie dem acuh sei, ich hab versucht aus all den andern beiträgen über diesen trojaner schlau zu werden und dabei festgestellt, dass das wohl nur individuell geht. ich hoffe ich mache alles richtig, wenn ich hier erstmal schreibe was ich alles schon gemacht hab:

Als erstes hab ich McAffe von ihrem rechner verbannt und Avira AV und Zonealarm drauf gemacht.
Nexter schritt war MB AntiMalware im abgesicherten laufen lassen.
Der konnte natürlich einige der zufällig generierten dlls (die offensichtlich jedem laufenden prozess zugewiesen werden ) nich löschen, hab ich dann manuell mit nem BartPE-BootCDlein gemacht.
2 neustarts lang funzt das auch, danach is der gute aber wieder mit ner frisch generierten .dll zurück.

Meine erste frage ist: soll ich erstaml eigenmächtig alles posten, was ich für wichtig halte (malwarebytes logs, HJT logs) oder step by step eure anweisungen ausführen (ich frage, weil mein halbwissen gerne mit echtem profiwissen probleme macht^^)

Danke schonmal, sollte euch vorerst, das HJT log nich intressiern, ignorierts einfach^^ (alle datein anzeigen, ist natürlich an.)

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:34:29, on 09.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Dell Photo AIO Printer 944\memcard.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =w.google.de/ig?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w.go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =w.go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = w.go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w.go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = w..euro.dell.com/
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7998f598-4e28-4ab3-8a16-06f76fdbb58a} - C:\WINDOWS\system32\hizapego.dll
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DLCDCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCDtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [dlcdmon.exe] "C:\Programme\Dell Photo AIO Printer 944\dlcdmon.exe"
O4 - HKLM\..\Run: [MemoryCardManager] "C:\Programme\Dell Photo AIO Printer 944\memcard.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [tiwiyigasu] Rundll32.exe "C:\WINDOWS\system32\yaponema.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - w.//a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228518744578
O17 - HKLM\System\CCS\Services\Tcpip\..\{553B051D-A5BB-4F2B-A689-2943011645E4}: NameServer = 62.109.123.6 213.191.92.87
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\nozahiti.dll c:\windows\system32\lipewedi.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 7586 bytes
ich hoffe ich hab nichts zu editierendes übersehn... hab aber weder links, noch irgentwas mit benutzernamen gefunden.

EDIT: hab grad nen paar links gefunden, die ich natürlich sofort geedited hab
EDIT2: und noch mehr^^
EDIT3: bin übrigenz die nexten 6 stunden am rechner, also wenn was is einfach sagen ich drück alle paar sec F5 (jap, IE user aus überzeugung, solang man die updates macht^^)
Geändert von sacastor (09.12.2008 um 11:50 Uhr)

Alt 09.12.2008, 11:49   #2
HiTTi
 
TR-Vundo.gen | mal wieder... - Standard

TR-Vundo.gen | mal wieder...


Du hast an dem System ja anscheinend schon rumgelöscht... falls nicht korrigiere mich.

Ich glaube aber du surfst nicht über Deutschland
O17 - HKLM\System\CCS\Services\Tcpip\..\{553B051D-A5BB-4F2B-A689-2943011645E4}: NameServer = 62.109.123.6 213.191.92.87

Ich glaube die Ukraine lässt grüßen. Kann aber auch ein Fehlalarm sein ich weiß nicht wo ich das zuverlässig prüfen kann! Vll kann mir mal ein Erfahrener User ne Quelle nennen wo ich solche Ips überprüfen kann. Habs nur grade über Google gesucht und dort seht das das nach Ukraine schreit.

Das heißt deine Datenfluß könnte "abgehört" worden sein. Ändere alle wichtigen Onlinepasswörter von einem sauberen System. Warte auf weiter Posts. Ich muss mich mal erkundigen. Vll schreibt ja auch noch wer anderes.
__________________
Alt 09.12.2008, 11:56   #3
sacastor
 
TR-Vundo.gen | mal wieder... - Standard

TR-Vundo.gen | mal wieder...


volkommen richtig, ich sitze an dem ding schon 3 tage^^
jop, alles von wert wurde über dritten rechner sofort geändert.
nen komplettes backup (natürlich virenfrei) ist auch schon gezogen, für den format fall.
Danke fürs schnelle reply (sucht ihr noch leute? )
__________________
Alt 09.12.2008, 12:05   #4
HiTTi
 
TR-Vundo.gen | mal wieder... - Standard

TR-Vundo.gen | mal wieder...


Wofür suchen wir noch Leute?

Kannste mal vorsichtshalber C:\WINDOWS\system32\dla\tfswshx.dll bei Virustotal.com prüfen.

Und weißte noch was du alles gelöscht hast? Hast du davon ne Doku?

Aber ich denke mal wenn der Rechner wirklich über die Urkaine läuft war der Befall so stark das man den Rechner formatieren sollte damit das System wieder komplett vertraunswürdig ist.

Aber warte mal auf Posts von den Spezis hier... bin noch bissel unerfahren auf dem Gebiet, ich lerne aber gerne dazu.

Alt 09.12.2008, 12:13   #5
sacastor
 
TR-Vundo.gen | mal wieder... - Standard

TR-Vundo.gen | mal wieder...


1) ob ihr noch staff sucht
2) hab noch alle logs, aber der rechner war sowas von im eimer, dass ich mir nich vorstelln kann dass ihr euch das alles ansehn wollt (über 500 funde, mindestenz 40 verschiedene sachen)
3) Ja, die Neuaufsetzen befürchtung hab ich auch, is nur leider son dell laptop, wo das OS auf ner versteckten partition im rechner is und nich auf cd, und ob das virenfrei geblieben is ...


Alt 09.12.2008, 12:19   #6
HiTTi
 
TR-Vundo.gen | mal wieder... - Standard

TR-Vundo.gen | mal wieder...


Ja dann bleibt und ja nichts anderes über als die Möglichkeiten mal anzusehen aber ich glaube bei 500 Funden lohnt sich das gar nimmer xD

Egal poste mal, interessiert mich!

Bis ich das dann druchhabe dauert das aber etwas!xD

Das mit dem neumachen wird aber immer wahrscheinlicher....

Alt 09.12.2008, 12:33   #7
Argus
 
TR-Vundo.gen | mal wieder... - Standard

TR-Vundo.gen | mal wieder...


Wieso Ukraïne ist eine IP aus Deutschland

Zitat:
Ich glaube aber du surfst nicht über Deutschland
O17 - HKLM\System\CCS\Services\Tcpip\..\{553B051D-A5BB-4F2B-A689-2943011645E4}: NameServer = 62.109.123.6 213.191.92.87
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {7998f598-4e28-4ab3-8a16-06f76fdbb58a} - C:\WINDOWS\system32\hizapego.dll
O4 - HKUS\S-1-5-19\..\Run: [tiwiyigasu] Rundll32.exe "C:\WINDOWS\system32\yaponema.dll",s (User 'LOKALER DIENST')
O20 - AppInit_DLLs: C:\WINDOWS\system32\nozahiti.dll c:\windows\system32\lipewedi.dll

klicke: Fix checked

Download ComboFix und speichert es auf den Desktop!

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Note:
Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt
Lass es zu das ComboFix ge-updatet wird
Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten

Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"

zusammen mit ein neuen log von HijackThis

Alt 09.12.2008, 12:36   #8
sacastor
 
TR-Vundo.gen | mal wieder... - Standard

TR-Vundo.gen | mal wieder...


danke, is in arbeit, brauchtr ihr das VirusTotal gecheckte noch? (vt analysiert wohl recht langsam ^^)

und eine frage noch, sicher dasss ich den av guard ausmachen soll? ich mein, klar hab ich theoretisch die .dlls mit HJT gelöscht, defakto sind die aber noch an und laufen, aus meiner bisherigen erfahrung, verbreitet sich das dicng binnen millisekunden brutl, so wie ich av ausmache. soll ich die nich lieber per hand von nem andern betriebsys löschen bevor ich av ausmache ?
Geändert von sacastor (09.12.2008 um 12:44 Uhr)

Alt 09.12.2008, 12:56   #9
HiTTi
 
TR-Vundo.gen | mal wieder... - Standard

TR-Vundo.gen | mal wieder...


@Argus: Woran seh ich das denn? Ich hab das nur bei google eingegeben und dort stand das es eine umleitung in die ukraine sei.

Gibt das i-wo online sone liste wo man das prüfen kann?

Wäre für eine Quelle dankbar

Alt 09.12.2008, 13:05   #10
sacastor
 
TR-Vundo.gen | mal wieder... - Standard

TR-Vundo.gen | mal wieder...


so, ich hoffe mal, das ich tatsache alle links und so weiter gefunden und unkenntlich gemacht habe, falls nicht, weist mich drauf hin und ich werds umgehend ändern.
hier das log:

Zitat:
ComboFix 08-12-07.04 - Sy*via 2008-12-09 12:48:27.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.608 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Sy*via\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\Sy*via\Anwendungsdaten\NI.GSCNS
c:\dokumente und einstellungen\Sy*via\Anwendungsdaten\NI.GSCNS\dl.ini
c:\dokumente und einstellungen\Sy*via\Anwendungsdaten\NI.GSCNS\settings.ini
c:\dokumente und einstellungen\Sy*via\Anwendungsdaten\twain\Twain.exe
c:\dokumente und einstellungen\Sy*via\Lokale Einstellungen\Temporary Internet Files\bestwiner.stt
c:\dokumente und einstellungen\Sy*via\Lokale Einstellungen\Temporary Internet Files\CPV.stt
c:\dokumente und einstellungen\Sy*via\Lokale Einstellungen\Temporary Internet Files\fbk.sts
c:\dokumente und einstellungen\t*st\Startmenü\Programme\Autostart\Deewoo.lnk
c:\dokumente und einstellungen\t*st\Startmenü\Programme\Autostart\DW_Start.lnk
c:\temp\1cb
c:\temp\1cb\syscheck.log
c:\temp\DIV55
c:\temp\DIV55\xDb.log
c:\temp\tn3
c:\windows\Downloaded Program Files\setup.inf
c:\windows\IE4 Error Log.txt
c:\windows\system32\S4
c:\windows\system32\TDSSmtpe.dat
c:\windows\Tasks\xkvllmuq.job

----- BITS: Eventuell infizierte Webseiten -----

hxxp://77.74.48.105
.
((((((((((((((((((((((( Dateien erstellt von 2008-11-09 bis 2008-12-09 ))))))))))))))))))))))))))))))
.

2008-12-08 19:43 . 2008-12-08 19:45 <DIR> d-------- c:\programme\Unlocker
2008-12-08 19:43 . 2008-12-09 10:52 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Desktopicon
2008-12-08 19:37 . 2008-12-08 19:37 <DIR> d-------- c:\programme\FileASSASSIN
2008-12-08 05:35 . 2008-12-08 05:35 6,860 ---hs---- c:\windows\system32\buyoyena.exe
2008-12-07 22:29 . 2008-12-07 22:29 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-12-07 22:02 . 2008-12-07 22:03 56 -r-hs---- c:\windows\system32\2FD930CB1C.sys
2008-12-06 14:33 . 2008-12-06 14:33 <DIR> d-------- c:\programme\DIFX
2008-12-06 06:00 . 2008-12-06 06:00 <DIR> d-------- c:\windows\Logs
2008-12-06 00:37 . 2008-12-06 00:37 <DIR> d-------- c:\windows\system32\de
2008-12-06 00:37 . 2008-12-06 00:37 <DIR> d-------- c:\windows\system32\bits
2008-12-06 00:37 . 2008-12-06 00:37 <DIR> d-------- c:\windows\l2schemas
2008-12-06 00:32 . 2008-12-06 00:37 <DIR> d-------- c:\windows\ServicePackFiles
2008-12-06 00:13 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2008-12-06 00:02 . 2008-12-06 00:02 <DIR> d-------- c:\programme\Trend Micro
2008-12-06 00:01 . 2008-12-06 00:01 0 --a------ c:\windows\nsreg.dat
2008-12-05 23:40 . 2008-12-09 12:57 1,085,472 --ahs---- c:\windows\system32\drivers\fidbox.dat
2008-12-05 23:40 . 2008-12-09 12:53 13,724 --ahs---- c:\windows\system32\drivers\fidbox.idx
2008-12-05 23:36 . 2008-12-05 23:36 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-12-05 23:35 . 2008-07-09 09:05 75,248 --a------ c:\windows\zllsputility.exe
2008-12-05 23:35 . 2008-07-09 09:05 54,672 --a------ c:\windows\system32\vsutil_loc0407.dll
2008-12-05 23:35 . 2008-07-09 09:05 42,384 --a------ c:\windows\zllsputility_loc0407.dll
2008-12-05 23:35 . 2008-07-09 09:05 21,904 --a------ c:\windows\system32\imsinstall_loc0407.dll
2008-12-05 23:35 . 2008-07-09 09:05 17,808 --a------ c:\windows\system32\imslsp_install_loc0407.dll
2008-12-05 23:35 . 2004-04-27 04:40 11,264 --a------ c:\windows\system32\SpOrder.dll
2008-12-05 23:35 . 2008-12-05 23:38 4,212 ---h----- c:\windows\system32\zllictbl.dat
2008-12-05 23:34 . 2008-12-05 23:34 <DIR> d-------- c:\programme\Zone Labs
2008-12-05 20:27 . 2008-12-05 20:27 <DIR> d-------- C:\Sylvia
2008-12-05 20:08 . 2008-12-05 20:08 <DIR> d-------- c:\dokumente und einstellungen\Sy*via\Anwendungsdaten\Malwarebytes
2008-12-05 20:08 . 2008-12-05 20:08 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-05 20:08 . 2008-10-16 20:25 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-05 20:08 . 2008-10-16 20:25 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-05 20:07 . 2008-12-05 20:08 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-05 20:06 . 2008-12-05 20:06 <DIR> d-------- c:\programme\Avira
2008-12-05 20:06 . 2008-12-05 20:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-05 16:31 . 2008-12-05 16:31 <DIR> d--h----- c:\windows\system32\GroupPolicy
2008-12-04 14:32 . 2004-08-13 13:47 <DIR> d--h----- c:\dokumente und einstellungen\t*st\Vorlagen
2008-12-04 14:32 . 2004-08-13 13:47 <DIR> dr------- c:\dokumente und einstellungen\t*st\Startmenü
2008-12-04 14:32 . 2004-08-13 13:47 <DIR> d--h----- c:\dokumente und einstellungen\t*st\Netzwerkumgebung
2008-12-04 14:32 . 2008-12-09 12:51 <DIR> d--h----- c:\dokumente und einstellungen\t*st\Lokale Einstellungen
2008-12-04 14:32 . 2008-12-05 17:09 <DIR> dr------- c:\dokumente und einstellungen\t*st\Favoriten
2008-12-04 14:32 . 2008-12-04 14:34 <DIR> dr------- c:\dokumente und einstellungen\t*st\Eigene Dateien
2008-12-04 14:32 . 2004-08-13 13:47 <DIR> d--h----- c:\dokumente und einstellungen\t*st\Druckumgebung
2008-12-04 14:32 . 2006-02-06 16:27 <DIR> d-------- c:\dokumente und einstellungen\t*st\Anwendungsdaten\Intel
2008-12-04 14:32 . 2006-02-06 16:33 <DIR> d-------- c:\dokumente und einstellungen\t*st\Anwendungsdaten\Corel
2008-12-04 14:32 . 2008-12-05 17:12 <DIR> dr-h----- c:\dokumente und einstellungen\t*st\Anwendungsdaten
2008-12-04 14:32 . 2008-12-06 14:13 <DIR> d-------- c:\dokumente und einstellungen\t*st
2008-12-03 19:17 . 2008-12-09 12:50 <DIR> d-------- c:\dokumente und einstellungen\Sy*via\Anwendungsdaten\Twain
2008-12-02 20:00 . 2008-12-02 20:00 90,915 --a------ c:\windows\system32\hnehakphsucy.dll-uninst.exe
2008-12-02 18:29 . 2008-12-02 18:45 2 --a------ C:\2093312714
2008-12-02 18:20 . 2008-12-02 18:22 47,584 --a------ c:\windows\system32\thhzycsourjaojb.exe
2008-12-02 18:19 . 2008-12-05 22:19 <DIR> d-------- c:\windows\system32\evp
2008-12-02 18:19 . 2008-12-05 22:18 <DIR> d-------- c:\windows\system32\AT
2008-11-21 12:29 . 2008-12-09 12:56 <DIR> d-------- c:\dokumente und einstellungen\Sy*via\Anwendungsdaten\skypePM
2008-11-21 12:29 . 2008-11-21 12:29 56 --ah----- c:\windows\system32\ezsidmv.dat
2008-11-21 12:23 . 2008-12-09 12:07 <DIR> d-------- c:\dokumente und einstellungen\Sy*via\Anwendungsdaten\Skype
2008-11-21 12:22 . 2008-11-21 12:22 <DIR> d-------- c:\programme\Skype
2008-11-21 12:22 . 2008-11-21 12:22 <DIR> d-------- c:\programme\Gemeinsame Dateien\Skype
2008-11-21 12:22 . 2008-11-21 12:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2008-11-12 10:16 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-08 09:55 142,848 ----a-w c:\windows\Internet Logs\xDB3.tmp
2008-12-08 09:55 1,396,224 ----a-w c:\windows\Internet Logs\xDB4.tmp
2008-12-07 11:35 1,395,200 ----a-w c:\windows\Internet Logs\xDB2.tmp
2008-12-06 13:42 --------- d-----w c:\programme\McAfee
2008-12-06 13:39 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2008-12-06 12:38 835,072 ----a-w c:\windows\Internet Logs\xDB1.tmp
2008-12-05 22:47 --------- d-----w c:\programme\Yahoo!
2008-12-05 22:40 --------- d-----w c:\programme\Google
2008-12-04 13:15 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SACore
2008-11-27 10:48 --------- d-----w c:\programme\Dl_cats
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-09 07:43 --------- d-----w c:\programme\Picasa2
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-11-18 21633320]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-11-09 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-09 602182]
"DLCDCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\DLCDtime.dll" [2005-06-07 69632]
"dlcdmon.exe"="c:\programme\Dell Photo AIO Printer 944\dlcdmon.exe" [2005-07-22 430080]
"MemoryCardManager"="c:\programme\Dell Photo AIO Printer 944\memcard.exe" [2005-06-27 282624]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 147456]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-09-22 1176768]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-09-22 1949912]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-09-22 82832]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2005-06-10 249856]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPIControl.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\CAPIControl.lnk
backup=c:\windows\pss\CAPIControl.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk
backup=c:\windows\pss\Digital Line Detect.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ShowLOMControl]
[X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Photo Downloader]
--a------ 2005-08-31 12:06 106496 c:\programme\Corel\Corel Photo Album 6\MediaDetect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 03:22 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dell QuickSet]
--a------ 2005-12-06 11:45 839680 c:\programme\Dell\QuickSet\quickset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]
--a------ 2004-12-06 02:05 127035 c:\windows\system32\dla\tfswctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dlcdmon.exe]
--a------ 2005-07-22 08:45 430080 c:\programme\Dell Photo AIO Printer 944\dlcdmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMXLauncher]
--a------ 2005-01-27 02:02 86016 c:\programme\Dell\Media Experience\DMXLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]
--------- 2005-12-09 21:29 49152 c:\programme\CyberLink\PowerDVD\DVDLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]
--a------ 2005-11-19 04:38 77824 c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
--a------ 2005-11-19 04:42 118784 c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
--a------ 2005-11-19 04:41 98304 c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
--a------ 2005-11-09 23:08 602182 c:\programme\Intel\Wireless\Bin\iFrmewrk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelZeroConfig]
--a------ 2005-11-09 23:08 667718 c:\programme\Intel\Wireless\Bin\ZCfgSvc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2005-06-10 11:44 249856 c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2005-06-10 11:44 81920 c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MemoryCardManager]
--a------ 2005-06-27 06:05 282624 c:\programme\Dell Photo AIO Printer 944\memcard.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ModemOnHold]
--------- 2003-09-10 03:24 20480 c:\programme\NetWaiting\netwaiting.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 03:22 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NapsterShell]
--a------ 2007-01-12 18:36 323216 c:\programme\Napster\napster.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-21 12:43 282624 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2003-11-19 18:48 32881 c:\programme\Java\j2re1.4.2_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2005-11-29 19:56 761947 c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp]
--a------ 2005-11-16 22:35 397312 c:\windows\stsystra.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"NICCONFIGSVC"=2 (0x2)
"MskService"=2 (0x2)
"MpfService"=2 (0x2)
"MDM"=2 (0x2)
"mcupdmgr.exe"=3 (0x3)
"McTskshd.exe"=2 (0x2)
"McShield"=2 (0x2)
"McDetect.exe"=2 (0x2)
"dlcd_device"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 CAPI20;Eumex 504PC USB;c:\windows\system32\Drivers\CAPI20.SYS [2004-04-05 966352]
R2 DETEWECP;Telekom CapiPort;c:\windows\system32\drivers\detewecp.sys [2003-03-19 37696]
S4 dlcd_device;dlcd_device;c:\windows\system32\dlcdcoms.exe -service []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ee419a2-0e18-11dc-a1e4-001422efd81a}]
\Shell\AutoRun\command - F:\Setup.exe
.
Inhalt des "geplante Tasks" Ordners

2008-11-21 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]

2006-02-16 c:\windows\Tasks\ISP-Anmeldungserinnerung 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-04-14 03:22]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-swg - c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
MSConfigStartUp-CPM7ff659f9 - c:\windows\system32\fogiguzu.dll
MSConfigStartUp-MCAgentExe - c:\progra~1\mcafee.com\agent\mcagent.exe
MSConfigStartUp-MCUpdateExe - c:\progra~1\mcafee.com\agent\mcupdate.exe
MSConfigStartUp-MPFExe - c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe
MSConfigStartUp-MSKAGENTEXE - c:\progra~1\McAfee\SPAMKI~1\MskAgent.exe
MSConfigStartUp-MSKDetectorExe - c:\progra~1\McAfee\SPAMKI~1\MSKDetct.exe
MSConfigStartUp-OASClnt - c:\programme\McAfee.com\VSO\oasclnt.exe
MSConfigStartUp-routcnf - c:\programme\Telekom\Eumex 504PC USB\routcnf.exe
MSConfigStartUp-VirusScan Online - c:\programme\McAfee.com\VSO\mcvsshld.exe
MSConfigStartUp-VSOCheckTask - c:\progra~1\McAfee.com\VSO\mcmnhdlr.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://w*w.google.de/ig?hl=de
uInternet Connection Wizard,ShellNext = hxxp://w*w.euro.dell.com/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FireFox -: Profile - c:\dokumente und einstellungen\Sy*via\Anwendungsdaten\Mozilla\Firefox\Profiles\9hp38d5n.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net
Rootkit scan 2008-12-09 12:54:57
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
DLCDCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\DLCDtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(1096)
c:\windows\system32\relog_ap.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Intel\Wireless\Bin\WLKEEPER.exe
c:\windows\system32\ZoneLabs\vsmon.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\fxssvc.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-09 12:59:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-09 11:59:23

Vor Suchlauf: 17 Verzeichnis(se), 23.294.926.848 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 23,533,547,520 Bytes frei

281 --- E O F --- 2008-12-05 23:12:11
EDIT: LoL, gleich in der ersten zeile was übersehn gehabt^^

Alt 09.12.2008, 14:24   #11
sacastor
 
TR-Vundo.gen | mal wieder... - Standard

TR-Vundo.gen | mal wieder...


so, also es scheint als hätte combofix was auch immer es war beseitigt, ich bekomme auf jedenfall keine anzeichen von dem ding mehr obwohl ich schon mehrmals neugestartet hab =) falls ihr noch was entdeckt, lasst es mich wissen ^^

Alt 09.12.2008, 14:58   #12
Chris4You
 
TR-Vundo.gen | mal wieder... - Standard

TR-Vundo.gen | mal wieder...


Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\yaponema.dll -> sollte faul sein -> http://www.prevx.com/filenames/2034997618338357937-0/YAPONEMA2EDLL.html
C:\WINDOWS\system32\hizapego.dll -> sollte clean sein, Zonealarm, wenn nicht unten aufnehmen
C:\WINDOWS\system32\nozahiti.dll -> ? falls nicht erkannt unten rausnehmen
c:\windows\system32\lipewedi.dll -> ? falls nicht erkannt unten rausnehme
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
ATTFilter
Registry values to replace with dummy: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 
 
Files to delete:
C:\WINDOWS\system32\yaponema.dll
c:\windows\system32\lipewedi.dll
C:\WINDOWS\system32\nozahiti.dll
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 09.12.2008, 15:15   #13
sacastor
 
TR-Vundo.gen | mal wieder... - Standard

TR-Vundo.gen | mal wieder...


moin, also ja ich weiß das diese datein nich gut sind^^
Hat antivir als besagten TR-Vundo.gen identifiziert.
Da allerdings keins der mir bekannten programme (ob unlocker oder MB FA) in der lage waren sie zu löschen (die verknüpfen sich mit jedem aktiven programm) habe ich die alle schon lange manuell per BartPE gelöscht.

Demnach kann ich davon auch keine auf dem rechner finden.
Und ja ich hab versteckte datein anzeigen an ^^ auch sysdat und was es sonst so gibt.
daher kann ich sie auch nich mit avanger bearbeiten. Die letzte (hizapego.dll) Habe ich nicht manuell gelöscht, sie war von meinem system verschwunden, nach dem ausführen von ComboFix.

ich habe seit dem auch nur noch einmal eine virenwarnmeldung vom AVGuard bekommen über eine .tmp datei im SystemVolumeInformation ordner, auf den ich leider anscheinend garkeine zugreiffsrechte habe. Ideen?

EDIT:
kleiner fehler meinerseits, letzte fund war das hier
C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP523\A0085863.dll
keine .tmp file

EDIT2:
Ich sag euch mal was aus meiner bisherigen erfahrung der letzten 4 tage mit dem ding: so weit wie jetzt war ich schonmal, keine dlls in sys32 aber im systemvolumeinformation noch was. wenn ich wetten müsste, dann verbreitet sich der binnen der nexten 2 neustarts wieder in den sys32 ordner. Wie ich dieses ding jetzt schon liebe ^^ der oben genannte fund, kam übrigenz OHNE das ich am rechner war NACHDEM ich mehrmals nach dem durchlaufen lassen von ComboFix neugestartet hatte.
Geändert von sacastor (09.12.2008 um 15:27 Uhr)

Alt 09.12.2008, 15:41   #14
Chris4You
 
TR-Vundo.gen | mal wieder... - Standard

TR-Vundo.gen | mal wieder...


Hi,

wie sieht es mit den folgenden Dateien/Ordnern aus?
c:\windows\system32\hnehakphsucy.dll-uninst.exe
2008-12-02 18:29 . 2008-12-02 18:45 2 --a------ C:\2093312714
2008-12-02 18:20 . 2008-12-02 18:22 47,584 --a------ c:\windows\system32\thhzycsourjaojb.exe
2008-12-02 18:19 . 2008-12-05 22:19 <DIR> d-------- c:\windows\system32\evp
2008-12-02 18:19 . 2008-12-05 22:18 <DIR> d-------- c:\windows\system32\AT
c:\windows\system32\buyoyena.exe
c:\windows\system32\thhzycsourjaojb.exe

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 09.12.2008, 15:57   #15
sacastor
 
TR-Vundo.gen | mal wieder... - Standard

TR-Vundo.gen | mal wieder...


C:\2093312714
Zitat:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.8.1 2008.12.09 -
AntiVir 7.9.0.43 2008.12.09 -
Authentium 5.1.0.4 2008.12.08 -
Avast 4.8.1281.0 2008.12.08 -
AVG 8.0.0.199 2008.12.09 -
BitDefender 7.2 2008.12.09 -
CAT-QuickHeal 10.00 2008.12.09 -
ClamAV 0.94.1 2008.12.09 -
Comodo 713 2008.12.09 -
DrWeb 4.44.0.09170 2008.12.09 -
eSafe 7.0.17.0 2008.12.09 -
eTrust-Vet 31.6.6252 2008.12.09 -
Ewido 4.0 2008.12.08 -
F-Prot 4.4.4.56 2008.12.08 -
F-Secure 8.0.14332.0 2008.12.09 -
Fortinet 3.117.0.0 2008.12.09 -
GData 19 2008.12.09 -
Ikarus T3.1.1.45.0 2008.12.08 -
K7AntiVirus 7.10.549 2008.12.09 -
Kaspersky 7.0.0.125 2008.12.09 -
McAfee 5458 2008.12.08 -
McAfee+Artemis 5458 2008.12.09 -
Microsoft 1.4205 2008.12.09 -
NOD32 3676 2008.12.09 -
Norman 5.80.02 2008.12.09 -
Panda 9.0.0.4 2008.12.08 -
PCTools 4.4.2.0 2008.12.09 -
Prevx1 V2 2008.12.09 -
Rising 21.07.12.00 2008.12.09 -
SecureWeb-Gateway 6.7.6 2008.12.09 -
Sophos 4.36.0 2008.12.09 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.09 -
TheHacker 6.3.1.2.180 2008.12.09 -
TrendMicro 8.700.0.1004 2008.12.09 -
VBA32 3.12.8.10 2008.12.09 -
ViRobot 2008.12.9.1509 2008.12.09 -
VirusBuster 4.5.11.0 2008.12.08 -
weitere Informationen
File size: 2 bytes
MD5...: 444bcb3a3fcf8389296c49467f27e1d6
SHA1..: 7a85f4764bbd6daf1c3545efbbf0f279a6dc0beb
SHA256: 2689367b205c16ce32ed4200942b8b8b1e262dfc70d9bc9fbc77c49699a4f1df
SHA512: 9fbbbb5a0f329f9782e2356fa41d89cf9b3694327c1a934d6af2a9df2d7f936c
e83717fb513196a4ce5548471708cd7134c2ae99b3c357bcabb2eafc7b9b7570

ssdeep: 3:V:V

PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=444bcb3a3fcf8389296c49467f27e1d6' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=444bcb3a3fcf8389296c49467f27e1d6</a>
c:\windows\system32\thhzycsourjaojb.exe
Zitat:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.8.1 2008.12.09 -
AntiVir 7.9.0.43 2008.12.09 -
Authentium 5.1.0.4 2008.12.08 -
Avast 4.8.1281.0 2008.12.08 -
AVG 8.0.0.199 2008.12.09 -
BitDefender 7.2 2008.12.09 -
CAT-QuickHeal 10.00 2008.12.09 -
ClamAV 0.94.1 2008.12.09 -
Comodo 713 2008.12.09 -
DrWeb 4.44.0.09170 2008.12.09 -
eSafe 7.0.17.0 2008.12.09 -
eTrust-Vet 31.6.6252 2008.12.09 -
Ewido 4.0 2008.12.08 -
F-Prot 4.4.4.56 2008.12.08 -
F-Secure 8.0.14332.0 2008.12.09 -
Fortinet 3.117.0.0 2008.12.09 -
GData 19 2008.12.09 -
Ikarus T3.1.1.45.0 2008.12.08 -
K7AntiVirus 7.10.549 2008.12.09 -
Kaspersky 7.0.0.125 2008.12.09 -
McAfee 5458 2008.12.08 -
McAfee+Artemis 5458 2008.12.09 -
Microsoft 1.4205 2008.12.09 -
NOD32 3676 2008.12.09 -
Norman 5.80.02 2008.12.09 -
Panda 9.0.0.4 2008.12.09 -
PCTools 4.4.2.0 2008.12.09 -
Prevx1 V2 2008.12.09 Cloaked Malware
Rising 21.07.12.00 2008.12.09 -
SecureWeb-Gateway 6.7.6 2008.12.09 -
Sophos 4.36.0 2008.12.09 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.09 -
TheHacker 6.3.1.2.180 2008.12.09 Adware/AdRotator
TrendMicro 8.700.0.1004 2008.12.09 -
VBA32 3.12.8.10 2008.12.09 -
ViRobot 2008.12.9.1509 2008.12.09 -
VirusBuster 4.5.11.0 2008.12.08 -
weitere Informationen
File size: 47584 bytes
MD5...: 9709469d6dbf8acba329c088585c1334
SHA1..: f86a972d1d0f1e959312d3f196fb2d1ac4166901
SHA256: ce3e3eff690db650806c9307023599a8d6bce20589daa28b6d0d5e8e39a301aa
SHA512: a95442bff6ca69b372793b322d9f204b359974e325e81adf90cdd573c14a494a
e3a7110bb8a55b9927d405409bc4edd60989d860272cbd6719072c6157104e23

ssdeep: 768:SSup23EQCjlQRB8/ewZ1iU6nyYFxbssT/F/O71mJ5TJRn0zbSJEiSG2fNz3l
Hblw:Hu4EQalMK/ewGnh0mJ6zbS6brjqd

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403225
timedatestamp.....: 0x48efcdc9 (Fri Oct 10 21:48:57 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5976 0x5a00 6.47 335c19bb25cd1d02eec2b0a4eacb979c
.rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75
.data 0x9000 0x1af98 0x400 4.69 59710519e577598f785044e4d95261f4
.ndata 0x24000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x31000 0x908 0xa00 3.85 c8a7e34036e84f6de6309bd5eacecfa0

( 8 imports )
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=8BBFD997E0C3D6E0B91500CEBA529500968DCB16' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=8BBFD997E0C3D6E0B91500CEBA529500968DCB16</a>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=9709469d6dbf8acba329c088585c1334' target='_blank'>http://www.threatexpert.com/report.aspx?md5=9709469d6dbf8acba329c088585c1334</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9709469d6dbf8acba329c088585c1334' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9709469d6dbf8acba329c088585c1334</a>
EDIT: Hab ich doch glatt 2 übersehn:

Zitat:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.8.1 2008.12.09 -
AntiVir 7.9.0.43 2008.12.09 -
Authentium 5.1.0.4 2008.12.08 -
Avast 4.8.1281.0 2008.12.08 -
AVG 8.0.0.199 2008.12.09 -
BitDefender 7.2 2008.12.09 -
CAT-QuickHeal 10.00 2008.12.09 -
ClamAV 0.94.1 2008.12.09 -
Comodo 713 2008.12.09 -
DrWeb 4.44.0.09170 2008.12.09 -
eSafe 7.0.17.0 2008.12.09 -
eTrust-Vet 31.6.6252 2008.12.09 -
Ewido 4.0 2008.12.08 -
F-Prot 4.4.4.56 2008.12.08 -
F-Secure 8.0.14332.0 2008.12.09 -
Fortinet 3.117.0.0 2008.12.09 -
GData 19 2008.12.09 -
Ikarus T3.1.1.45.0 2008.12.08 -
K7AntiVirus 7.10.549 2008.12.09 -
Kaspersky 7.0.0.125 2008.12.09 -
McAfee 5458 2008.12.08 -
McAfee+Artemis 5458 2008.12.09 -
Microsoft 1.4205 2008.12.09 -
NOD32 3676 2008.12.09 -
Norman 5.80.02 2008.12.09 -
Panda 9.0.0.4 2008.12.09 -
PCTools 4.4.2.0 2008.12.09 -
Prevx1 V2 2008.12.09 -
Rising 21.07.12.00 2008.12.09 -
SecureWeb-Gateway 6.7.6 2008.12.09 -
Sophos 4.36.0 2008.12.09 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.09 -
TheHacker 6.3.1.2.180 2008.12.09 -
TrendMicro 8.700.0.1004 2008.12.09 -
VBA32 3.12.8.10 2008.12.09 -
ViRobot 2008.12.9.1509 2008.12.09 -
VirusBuster 4.5.11.0 2008.12.08 -
weitere Informationen
File size: 6860 bytes
MD5...: f379202f82a5a87fd73d1930bceb9bf1
SHA1..: ead552233149a51af181c066971fd4ab3b732fef
SHA256: f8f07422d2a98102c41c0476712232c9292137e05bff8dd1ab57c83ef2d8a7fa
SHA512: 78c0205770ed859aa5a3cb23069da53ca618277aff542cddcda95e7346338980
eb58d32cb5b93baf7dab767804d4530397dc30d7600f7ba0e6ddc57891daea4e

ssdeep: 96:uE1p7cEKeQsaKYVj0BGDcBwWLnGuN7q0cq3W:uE1p7PKhs40By2X1q63W

PEiD..: -
TrID..: File type identification
Text - UTF-8 encoded (100.0%)
PEInfo: -
packers (F-Prot): UTF-8
c:\windows\system32\thhzycsourjaojb.exe
Zitat:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.8.1 2008.12.09 -
AntiVir 7.9.0.43 2008.12.09 -
Authentium 5.1.0.4 2008.12.08 -
Avast 4.8.1281.0 2008.12.08 -
AVG 8.0.0.199 2008.12.09 -
BitDefender 7.2 2008.12.09 -
CAT-QuickHeal 10.00 2008.12.09 -
ClamAV 0.94.1 2008.12.09 -
Comodo 713 2008.12.09 -
DrWeb 4.44.0.09170 2008.12.09 -
eSafe 7.0.17.0 2008.12.09 -
eTrust-Vet 31.6.6252 2008.12.09 -
Ewido 4.0 2008.12.08 -
F-Prot 4.4.4.56 2008.12.08 -
F-Secure 8.0.14332.0 2008.12.09 -
Fortinet 3.117.0.0 2008.12.09 -
GData 19 2008.12.09 -
Ikarus T3.1.1.45.0 2008.12.08 -
K7AntiVirus 7.10.549 2008.12.09 -
Kaspersky 7.0.0.125 2008.12.09 -
McAfee 5458 2008.12.08 -
McAfee+Artemis 5458 2008.12.09 -
Microsoft 1.4205 2008.12.09 -
NOD32 3676 2008.12.09 -
Norman 5.80.02 2008.12.09 -
Panda 9.0.0.4 2008.12.09 -
PCTools 4.4.2.0 2008.12.09 -
Prevx1 V2 2008.12.09 Cloaked Malware
Rising 21.07.12.00 2008.12.09 -
SecureWeb-Gateway 6.7.6 2008.12.09 -
Sophos 4.36.0 2008.12.09 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.09 -
TheHacker 6.3.1.2.180 2008.12.09 Adware/AdRotator
TrendMicro 8.700.0.1004 2008.12.09 -
VBA32 3.12.8.10 2008.12.09 -
ViRobot 2008.12.9.1509 2008.12.09 -
VirusBuster 4.5.11.0 2008.12.08 -
weitere Informationen
File size: 47584 bytes
MD5...: 9709469d6dbf8acba329c088585c1334
SHA1..: f86a972d1d0f1e959312d3f196fb2d1ac4166901
SHA256: ce3e3eff690db650806c9307023599a8d6bce20589daa28b6d0d5e8e39a301aa
SHA512: a95442bff6ca69b372793b322d9f204b359974e325e81adf90cdd573c14a494a
e3a7110bb8a55b9927d405409bc4edd60989d860272cbd6719072c6157104e23

ssdeep: 768:SSup23EQCjlQRB8/ewZ1iU6nyYFxbssT/F/O71mJ5TJRn0zbSJEiSG2fNz3l
Hblw:Hu4EQalMK/ewGnh0mJ6zbS6brjqd

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403225
timedatestamp.....: 0x48efcdc9 (Fri Oct 10 21:48:57 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5976 0x5a00 6.47 335c19bb25cd1d02eec2b0a4eacb979c
.rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75
.data 0x9000 0x1af98 0x400 4.69 59710519e577598f785044e4d95261f4
.ndata 0x24000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x31000 0x908 0xa00 3.85 c8a7e34036e84f6de6309bd5eacecfa0

( 8 imports )
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=8BBFD997E0C3D6E0B91500CEBA529500968DCB16' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=8BBFD997E0C3D6E0B91500CEBA529500968DCB16</a>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=9709469d6dbf8acba329c088585c1334' target='_blank'>http://www.threatexpert.com/report.aspx?md5=9709469d6dbf8acba329c088585c1334</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9709469d6dbf8acba329c088585c1334' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9709469d6dbf8acba329c088585c1334</a>
die ordner sind auch beide da. Soll ich die links aus obigen auszügen auch "zensiern" ?

EDIT2: sind alles VT auszüge^^
Geändert von sacastor (09.12.2008 um 16:14 Uhr)

Antwort
Seite 1 von 2 1 2

Themen zu TR-Vundo.gen | mal wieder...
.dll, anhang geöffnet, antivir, antivirus, avira, bho, excel, explorer, frage, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, löschen, object, programme, prozess, registry, rundll, software, system, toolbars, trojaner, viren, windows, windows xp, windows xp sp3, xp sp3


« 4 Trojaner entfernt - trotzdem weitere Fehlermeldungen | Weiß nicht ob ich einen Trojaner habe »


Ähnliche Themen: TR-Vundo.gen | mal wieder...


  1. Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18
    Log-Analyse und Auswertung - 22.12.2008 (13)
  2. mal wieder TR/Vundo.gen
    Plagegeister aller Art und deren Bekämpfung - 09.12.2008 (14)
  3. tr/vundo.gen macht mir diesmal wieder zu schaffen
    Plagegeister aller Art und deren Bekämpfung - 04.11.2008 (15)
  4. TR/Vundo.fnr.6; TR/Vundo.Gen; TR/Crypt/Morphine.Gen....
    Mülltonne - 27.10.2008 (0)
  5. TR/Vundo taucht immer wieder auf..
    Mülltonne - 05.10.2008 (0)
  6. TR/Vundo.Gen-Wie bekommen ich diesen Trojaner wieder weg?
    Log-Analyse und Auswertung - 26.08.2008 (1)
  7. TR/Vundo.Gen und TR/crypt.xpack.gen , wie bekomme ich beides wieder los?
    Plagegeister aller Art und deren Bekämpfung - 11.08.2008 (1)
  8. TR/Vundo.Gen und TR/crypt.xpack.gen , wie bekomme ich beides wieder los?
    Mülltonne - 11.08.2008 (0)
  9. Virtumonde weg, Vundo wieder da, iexplore.exe und MS Juan RegKey hartnäckig
    Log-Analyse und Auswertung - 17.07.2008 (9)
  10. TR/Vundo.gen Infektion wieder beseitigt?
    Log-Analyse und Auswertung - 23.06.2008 (0)
  11. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  12. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  13. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)
  14. TR/Vundo.gen TR/vundo.AC Bitte um Hilfe
    Log-Analyse und Auswertung - 22.03.2008 (10)
  15. TR/Vundo.Gen und TR/Vundo.dvc1 bekämpfen
    Log-Analyse und Auswertung - 09.01.2008 (18)
  16. TR/Vundo.Gen-Befall...schon wieder einer!
    Mülltonne - 23.11.2007 (0)
  17. Wie kann ich TR/Vundo.AH und TR/Vundo.Gen entfernen?
    Log-Analyse und Auswertung - 24.03.2007 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR-Vundo.gen | mal wieder... - Moin, bin neuling hier, da ich bisher mit meinen viren immer klar gekommen bin. Ich darf jetzt den rechner von ner bekannten fixen, die leider ne dumme mail mit bösem - TR-Vundo.gen | mal wieder......
Archiv
Du betrachtest: TR-Vundo.gen | mal wieder... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131