|
Log-Analyse und Auswertung: Trojanerbefall: werde Vundo und Monder nicht losWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
18.12.2008, 17:13 | #31 |
| Trojanerbefall: werde Vundo und Monder nicht los OK, werde ich alles nacheinander abarbeiten. Kann allerdings erst spät heute abend damit anfangen. Mal sehen, wie weit ich komme. Melde mich wieder, sobald ich was habe. Gruß, maddox |
18.12.2008, 23:51 | #32 |
| Trojanerbefall: werde Vundo und Monder nicht los Als erstes also das avenger-log:
__________________Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 h**p://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Folder "C:\WINDOWS\QWRTAW4" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
19.12.2008, 12:36 | #34 |
| Trojanerbefall: werde Vundo und Monder nicht los ActiveScan: Code:
ATTFilter ;*********************************************************************************************************************************************************************************** ANALYSIS: 2008-12-19 12:20:09 PROTECTIONS: 4 MALWARE: 13 SUSPECTS: 2 ;*********************************************************************************************************************************************************************************** PROTECTIONS Description Version Active Updated ;=================================================================================================================================================================================== AntiVir PersonalEdition Classic Virenschutz 6.38.1.195 Yes Yes AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes No Avira AntiVir PersonalEdition 8.0.1.30 Yes Yes AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes ;=================================================================================================================================================================================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;=================================================================================================================================================================================== 00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.doubleclick.net/] 00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.atdmt.com/] 00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.mediaplex.com/] 00147036 Cookie/Adverserve TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\YYY\Anwendungsdaten\Mozilla\Firefox\Profiles\3os17w69.default\COOKIES.TXT[.adverserve.net/] 00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.xiti.com/] 00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.serving-sys.com/] 00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.serving-sys.com/] 00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.serving-sys.com/] 00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.serving-sys.com/] 00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.serving-sys.com/] 00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.serving-sys.com/] 00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.bs.serving-sys.com/] 00168095 Cookie/888 TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\XXX\Cookies\XXX@888[1].txt 00168113 Cookie/fe.lea.lycos TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\YYY\Anwendungsdaten\Mozilla\Firefox\Profiles\3os17w69.default\COOKIES.TXT[fe.lea.lycos.de/] 00168113 Cookie/fe.lea.lycos TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[fe.lea.lycos.de/] 00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.questionmarket.com/] 00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.questionmarket.com/] 00262492 Adware/CommAd Adware No 0 Yes No C:\System Volume Information\_restore{6BB66CAF-05E6-4747-9BC4-21B622F1214D}\RP23\A0004824.VBS 00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.smartadserver.com/] 00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.smartadserver.com/] 00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.smartadserver.com/] 00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\v5ur13me.default\SESSION.OLD[.smartadserver.com/] 03899172 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\All Users\Dokumente\Trojanerbekämpfung\MBR.EXE ;=================================================================================================================================================================================== SUSPECTS Sent Location C ;=================================================================================================================================================================================== No C:\Dokumente und Einstellungen\Admin\Desktop\LopSD.exe C No C:\Lop SD\CATCHME.EXE C ;=================================================================================================================================================================================== VULNERABILITIES Id Severity Description C ;=================================================================================================================================================================================== ;=================================================================================================================================================================================== Kaspersky Virus Removal Tool (das ist doch das, was du als AVP Tool bezeichnet hast, oder? Fand die Website ein bisschen unübersichtlich.) werde ich als nächstes machen. |
19.12.2008, 13:25 | #35 |
/// AVZ-Toolkit Guru | Trojanerbefall: werde Vundo und Monder nicht los Die logs sehen gut aus. Wie geht's dem Rechner?
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
19.12.2008, 13:51 | #36 |
| Trojanerbefall: werde Vundo und Monder nicht los Lasse gerade noch das AVP Tool scannen, hat bisher nix gefunden, dauert aber noch 2 bis 3 Stunden, bis alles geprüft ist. Ansonsten ist mein subjektiver Eindruck, dass es ziemlich lange dauert, bis Desktop und Shortcut-Leiste geladen sind, nachdem man sich eingeloggt hat. Ist aber, wie gesagt, gerade ein subjektiver Eindruck. SuperAntiSpyWare lädt sich auch in die Shortcut-Leiste, wird da vielleicht auch eine Art Schnell-Scan durchgeführt, der dann eben ein bisschen Zeit braucht? Wie ist das eigentlich mit den ganzen Programmen, die ich installiert habe: Soll ich die drauflassen oder deinstallieren? Gruß, maddox |
19.12.2008, 13:59 | #37 |
/// AVZ-Toolkit Guru | Trojanerbefall: werde Vundo und Monder nicht los SASW sollte ohne Wächter benutzt werden! (Prog öffnen -> Preferences -> Start SUPERAntiSpyware when Windows starts => Haken raus!) Ich würde das Prog sowie alle anderen aber eh wieder deinstallieren! Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..
Häufig gestellte Fragen: XP | Vista Poste nachdem du das gemacht hast bitte ein abschließendes HJT log.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
19.12.2008, 21:55 | #38 |
| Trojanerbefall: werde Vundo und Monder nicht los Puh, da bin ich wieder. Habe soweit möglich versucht, mich an die Tipps zu halten. Hier das abschließende HJT-log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:53:12, on 19.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\WiFi\bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\ATKKBService.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe C:\Programme\ASUS\NB Probe\SPM\spmgr.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ASUS\ASUS Live Update\ALU.exe C:\Programme\ASUS\Wireless Console\wcourier.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe C:\Programme\ASUS\Power4 Gear\BatteryLife.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Microsoft Office 2000\Office\1031\OLFSNT40.EXE C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe C:\Programme\Secunia\PSI\psi.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\OpenOffice.org 2.0\program\soffice.exe C:\Programme\OpenOffice.org 2.0\program\soffice.BIN C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.asus.com/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe O4 - HKLM\..\Run: [Wireless Console] C:\Programme\ASUS\Wireless Console\wcourier.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000\Office\OSA9.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office 2000\Office\1031\OLFSNT40.EXE O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe O23 - Service: spmgr - Unknown owner - C:\Programme\ASUS\NB Probe\SPM\spmgr.exe -- End of file - 7758 bytes maddox |
20.12.2008, 00:43 | #39 |
/// AVZ-Toolkit Guru | Trojanerbefall: werde Vundo und Monder nicht los Das sieht alles gut aus! Auf nimmer wiedersehen.. ^^
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
Themen zu Trojanerbefall: werde Vundo und Monder nicht los |
0 bytes, 7 viren, avgnt.exe, canon, content.ie5, dsl, einstellung, ellung, fehler, firefox, frage, hijack, hijackthis, hkus\s-1-5-18, hängen, igdctrl.exe, internet, internet explorer, jusched.exe, logfile, logon.exe, monder, mozilla, net.exe, nt.dll, registry, rthdcpl.exe, rundll, scan, software, starten, suchlauf, svchost.exe, symantec, verweise, virus, virus gefunden, vundo, warnung, windows |