|
Log-Analyse und Auswertung: Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
18.12.2008, 03:01 | #1 |
| Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Hallo, ich habe schon seit einer Weile diese beiden Trojaner, die mir regelmäßig von Avira angezeigt werden. Anfänglich noch einmal in der Stunde aber mittlerweile öffnet sich aller 3 Sekunden ein Avira-Fenster und meldet mir einen der beiden Viren. Entweder TR/Vundo.fxr.94 oder TR/Vundo.Gen.6.18 Deswegen hab ich jetzt AntiVir einfach deaktiviert, was ja auch nicht ganz Sinn und Zweck der Sache ist. Löschen funktioniert nicht und ein kompletter Systemscan hat auch nichts gebracht. Ich muss dazu sagen, dass ich leider IT-mäßig nicht sehr bewandert bin. Aber ich habe mich trotzdem mal an HJT versucht. Folgendes wurde ausgespuckt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:15:47, on 18.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\Programme\Winamp\winampa.exe C:\Programme\MSI\MSI.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\pctspk.exe C:\Programme\Spyware Cease\SpywareCease.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe C:\Programme\OpenOffice.org 2.3\program\soffice.exe C:\Programme\OpenOffice.org 2.3\program\soffice.BIN C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Opera\opera.exe C:\Programme\HJT\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.daemon-search.com/startpage O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [MSI] C:\Programme\MSI\MSI.exe -nogui O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [Generic Host] wauclt.exe O4 - HKLM\..\Run: [SpywareCease.exe] C:\Programme\Spyware Cease\SpywareCease.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: Belkin Wireless USB Utility.lnk = C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://***.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1030227973732 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} (GoPets Control) - h**ps://secure.gopetslive.com/dev/gopets.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: zovqwl.dll O23 - Service: MSI Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe -- End of file - 6075 bytes Ich hoffe ich habe jetzt alles richtig gemacht. Kann man da noch was machen oder ist schon alles verloren? Zum Schluss hab ich noch ein paar Fragen: Bleiben die Trojaner jetzt im system 32 oder können sie auch meine Daten (Bilder, Musik etc.) infizieren? Kann ich etwas tun, damit die Viren sich nicht weiter ausbreiten, solange ich nicht weiß, wie ich sie eliminieren kann? Muss ich etwas beachten, wenn ich im Internet surfe? Vielen Dank schonmal im Voraus. Liebe Grüße Diana |
18.12.2008, 19:10 | #2 | ||||
| Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Hallo und
__________________Zitat:
Zitat:
Zitat:
Zitat:
Lies und klicke auf die Links bei Für die Zukunft. Bitte folgende Dateien prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\wauclt.exe C:\WINDOWS\system32\zovqwl.dll C:\Programme\Spyware Cease\SpywareCease.exe
ciao, andreas |
18.12.2008, 21:35 | #3 |
| Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Hallo und vielen Dank für die Antwort.
__________________Das hört sich ja nicht so schön an. Ehrlich gesagt habe ich jetzt nicht damit gerechnet, dass es so ernst ist. Trotzdem ich alle Anweisung befolgt habe, konnte ich die Datei C:\WINDOWS\system32\wauclt.exe nicht finden. Stattdessen habe ich jetzt die wuauclt.exe hochgeladen. Ich hoffe das war jetzt nicht komplett daneben. Ich weiß jetzt nicht genau, was die Prüfsummen sind, deswegen kopiere ich mal das komplette Ergebnis: Datei wuauclt.exe empfangen 2008.12.18 20:59:01 (CET) Status: Beendet Ergebnis: 1/38 (2.64%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.12.19.0 2008.12.18 - AntiVir 7.9.0.45 2008.12.18 - Authentium 5.1.0.4 2008.12.18 - Avast 4.8.1281.0 2008.12.18 - AVG 8.0.0.199 2008.12.18 - BitDefender 7.2 2008.12.18 - CAT-QuickHeal 10.00 2008.12.18 - ClamAV 0.94.1 2008.12.18 - Comodo 771 2008.12.17 - DrWeb 4.44.0.09170 2008.12.18 - eSafe 7.0.17.0 2008.12.18 - eTrust-Vet 31.6.6267 2008.12.18 - Ewido 4.0 2008.12.18 - F-Prot 4.4.4.56 2008.12.18 - F-Secure 8.0.14332.0 2008.12.18 Suspicious:W32/SCKeyLog!Gemini Fortinet 3.117.0.0 2008.12.18 - GData 19 2008.12.18 - Ikarus T3.1.1.45.0 2008.12.18 - K7AntiVirus 7.10.557 2008.12.18 - Kaspersky 7.0.0.125 2008.12.18 - McAfee 5468 2008.12.18 - McAfee+Artemis 5468 2008.12.18 - Microsoft 1.4205 2008.12.18 - NOD32 3703 2008.12.18 - Norman 5.80.02 2008.12.18 - Panda 9.0.0.4 2008.12.18 - PCTools 4.4.2.0 2008.12.18 - Prevx1 V2 2008.12.18 - Rising 21.08.32.00 2008.12.18 - SecureWeb-Gateway 6.7.6 2008.12.18 - Sophos 4.37.0 2008.12.18 - Sunbelt 3.2.1801.2 2008.12.11 - Symantec 10 2008.12.18 - TheHacker 6.3.1.4.191 2008.12.17 - TrendMicro 8.700.0.1004 2008.12.18 - VBA32 3.12.8.10 2008.12.18 - ViRobot 2008.12.18.1525 2008.12.18 - VirusBuster 4.5.11.0 2008.12.18 - weitere Informationen File size: 53448 bytes MD5...: d316e28958873859b88d72cf47ad1ea5 SHA1..: 36a54a85121770e68f836bf32a0bf422a0c4e172 SHA256: afef34f482f5fb1f5768bdc63bc1dd8e787df5391b2fa0fa1e97041ecb72cae4 SHA512: c18b5124342b9a304da504b98674b289a307576056245d8b7cdcd27a32b8772b 0f679baa13838bcd981e8817c27f1644d2f4c265cbba43344e3f8f083be94af4 ssdeep: 768:J53RKoUAg+c6uzJBXJDy0g1FX3vxBytpiOKEcmu1jKvCLcDzfXSh/x0cdm u1kC PEiD..: - TrID..: File type identification Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4042dd timedatestamp.....: 0x48816313 (Sat Jul 19 03:44:19 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x8c84 0x8e00 6.00 9079e1cf62cf93298b09b9c3840b6239 .data 0xa000 0xd54 0x400 5.81 aea75c550ab527cbfba56bc33d16ea93 .rsrc 0xb000 0x7b8 0x800 4.55 8dc19cba0c732cf17cca6e6eddcdc010 .reloc 0xc000 0xc8a 0xe00 3.10 56fa4b399c6d09575836259c52cf6c40 ( 6 imports ) > KERNEL32.dll: CreateFileW, CreateDirectoryW, GetFileAttributesW, ExpandEnvironmentStringsW, lstrlenW, CreateProcessW, VerSetConditionMask, VerifyVersionInfoW, LoadLibraryW, OutputDebugStringW, WriteFile, FlushFileBuffers, GetModuleFileNameW, InterlockedIncrement, InterlockedDecrement, GetSystemTime, GetLastError, SetLastError, GetFileSize, CreateFileMappingW, MapViewOfFile, UnmapViewOfFile, SetFilePointer, SetEndOfFile, ReleaseMutex, WaitForSingleObject, CreateMutexW, CloseHandle, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, RtlUnwind, GetStartupInfoW, GetTimeZoneInformation, SystemTimeToTzSpecificLocalTime, GetSystemDirectoryW, LoadLibraryExW, GetDriveTypeW, GetVolumePathNameW, GetFileType, GetSystemInfo, GetModuleHandleW, CompareStringW, GetProcessHeap, HeapFree, HeapAlloc, GetCommandLineW, FreeLibrary, OpenEventW, GetProcAddress, WideCharToMultiByte, InterlockedExchange, Sleep, InterlockedCompareExchange > msvcrt.dll: __dllonexit, _unlock, _controlfp, _terminate@@YAXXZ, free, malloc, memmove, memcpy, memset, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _lock, _cexit, __wgetmainargs, _vsnwprintf, _onexit, _exit > ole32.dll: CoTaskMemFree, CoUninitialize, CoCreateInstance, CoInitialize, CoInitializeEx > ADVAPI32.dll: AllocateAndInitializeSid, FreeSid, GetTokenInformation, DuplicateTokenEx, CheckTokenMembership, IsValidSid, CopySid, RegCreateKeyExW, RegSetValueExW, RegQueryValueExW, GetUserNameW, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegOpenKeyExW, RegCloseKey > OLEAUT32.dll: -, - > SHLWAPI.dll: StrRChrW, -, PathStripToRootW, PathIsRelativeW, StrChrW, PathIsRootW, PathIsUNCW ( 0 exports ) Datei zovqwl.dll empfangen 2008.12.18 21:13:43 (CET) Status: Beendet Ergebnis: 16/38 (42.11%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.12.19.0 2008.12.18 - AntiVir 7.9.0.45 2008.12.18 TR/Vundo.Gen.6.26 Authentium 5.1.0.4 2008.12.18 - Avast 4.8.1281.0 2008.12.18 - AVG 8.0.0.199 2008.12.18 Vundo.CK BitDefender 7.2 2008.12.18 Trojan.Vundo.Gen.6 CAT-QuickHeal 10.00 2008.12.18 - ClamAV 0.94.1 2008.12.18 - Comodo 771 2008.12.17 - DrWeb 4.44.0.09170 2008.12.18 - eSafe 7.0.17.0 2008.12.18 Suspicious File eTrust-Vet 31.6.6267 2008.12.18 Win32/Vundo!generic Ewido 4.0 2008.12.18 - F-Prot 4.4.4.56 2008.12.18 W32/Virtumonde.AC.gen!Eldorado F-Secure 8.0.14332.0 2008.12.18 - Fortinet 3.117.0.0 2008.12.18 - GData 19 2008.12.18 Trojan.Vundo.Gen.6 Ikarus T3.1.1.45.0 2008.12.18 Trojan.Win32.Vundo K7AntiVirus 7.10.557 2008.12.18 - Kaspersky 7.0.0.125 2008.12.18 - McAfee 5468 2008.12.18 - McAfee+Artemis 5468 2008.12.18 - Microsoft 1.4205 2008.12.18 Trojan:Win32/Vundo.gen!R NOD32 3703 2008.12.18 Win32/Adware.SuperJuan Norman 5.80.02 2008.12.18 - Panda 9.0.0.4 2008.12.18 - PCTools 4.4.2.0 2008.12.18 - Prevx1 V2 2008.12.18 Cloaked Malware Rising 21.08.32.00 2008.12.18 Trojan.DL.Win32.Undef.col SecureWeb-Gateway 6.7.6 2008.12.18 Trojan.Vundo.Gen.6.26 Sophos 4.37.0 2008.12.18 - Sunbelt 3.2.1801.2 2008.12.11 - Symantec 10 2008.12.18 Packed.Generic.203 TheHacker 6.3.1.4.191 2008.12.17 - TrendMicro 8.700.0.1004 2008.12.18 PAK_Generic.001 VBA32 3.12.8.10 2008.12.18 - ViRobot 2008.12.18.1525 2008.12.18 Trojan.Win32.Virtumond.103424 VirusBuster 4.5.11.0 2008.12.18 - weitere Informationen File size: 103424 bytes MD5...: ec318957ef361601060320b183a88c26 SHA1..: 27cdc82f734519d714abc6731d438416fa807241 SHA256: 731b90d3dc2dd6cbd18252bdf33b1043d9fb300eeace351a7784413421144b7b SHA512: 1772ed708ebaebcd5274dbbaa1b9504720a10bbd488755dd5304b381e36306e6 59f51c4b89cded746b658faa399dfe2c190211913209ef364278897afc34129c ssdeep: 3072:r63l4lXxAkOTCvh7sKPTKMSY/Dq+ZI/XRt:rkIXxAkiCvh7sKPTKMS2LGf PEiD..: - TrID..: File type identification Win32 Executable Generic (38.5%) Win32 Dynamic Link Library (generic) (34.2%) Clipper DOS Executable (9.1%) Generic Win/DOS Executable (9.0%) DOS Executable Generic (9.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10001119 timedatestamp.....: 0x265fafa5 (Sun May 27 10:44:53 1990) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x9000 0x8400 7.89 a3031c89221cc88c8710c9337104a194 .itext 0xa000 0x1000 0x200 3.42 2ed2dca0cae4ecfca41caf55f73ca9d5 .data 0xb000 0x39000 0x10600 7.99 9adae0b0102ae28cdde8d8d85355c686 .bss 0x44000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x45000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b ( 3 imports ) > USER32.dll: MessageBoxA > KERNEL32.dll: ExitProcess, GetSystemTimeAsFileTime, CloseHandle, GetStartupInfoA, GetModuleHandleA > ADVAPI32.dll: RegQueryValueA, RegCloseKey, RegOpenKeyExA ( 0 exports ) Datei SpywareCease.exe empfangen 2008.12.18 21:21:03 (CET) Status: Beendet Ergebnis: 2/38 (5.27%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.12.19.0 2008.12.18 - AntiVir 7.9.0.45 2008.12.18 - Authentium 5.1.0.4 2008.12.18 W32/Agent.K.gen!Eldorado Avast 4.8.1281.0 2008.12.18 - AVG 8.0.0.199 2008.12.18 - BitDefender 7.2 2008.12.18 - CAT-QuickHeal 10.00 2008.12.18 - ClamAV 0.94.1 2008.12.18 - Comodo 771 2008.12.17 - DrWeb 4.44.0.09170 2008.12.18 - eSafe 7.0.17.0 2008.12.18 - eTrust-Vet 31.6.6267 2008.12.18 - Ewido 4.0 2008.12.18 - F-Prot 4.4.4.56 2008.12.18 W32/Agent.K.gen!Eldorado F-Secure 8.0.14332.0 2008.12.18 - Fortinet 3.117.0.0 2008.12.18 - GData 19 2008.12.18 - Ikarus T3.1.1.45.0 2008.12.18 - K7AntiVirus 7.10.557 2008.12.18 - Kaspersky 7.0.0.125 2008.12.18 - McAfee 5468 2008.12.18 - McAfee+Artemis 5468 2008.12.18 - Microsoft 1.4205 2008.12.18 - NOD32 3703 2008.12.18 - Norman 5.80.02 2008.12.18 - Panda 9.0.0.4 2008.12.18 - PCTools 4.4.2.0 2008.12.18 - Prevx1 V2 2008.12.18 - Rising 21.08.32.00 2008.12.18 - SecureWeb-Gateway 6.7.6 2008.12.18 - Sophos 4.37.0 2008.12.18 - Sunbelt 3.2.1801.2 2008.12.11 - Symantec 10 2008.12.18 - TheHacker 6.3.1.4.191 2008.12.17 - TrendMicro 8.700.0.1004 2008.12.18 - VBA32 3.12.8.10 2008.12.18 - ViRobot 2008.12.18.1525 2008.12.18 - VirusBuster 4.5.11.0 2008.12.18 - weitere Informationen File size: 4593152 bytes MD5...: 6d553040195fe2bf22785ec8e74c124d SHA1..: ec86baf30fab3488dcc694c877d56ac995522ad3 SHA256: 36acad11eef4fa65bb9353d83cb10bacdd6003a53091cd299c5527d205bd0912 SHA512: 2abd39da2a288b0fafc1a14d771b7fa3b1f5667dc0cddee59189344b1ddf0cb8 c7d5f537ce2758989d99a7988134a0b428ae11a2a1a0b1785711d0737e373c4f ssdeep: 24576:8LHgSSqFbXB2L3sZPaoDiu85Kf+Ah+PLAbrXP4UDMJW/nzUJTumR8aQTzp a:8jgUBL3DVbxh+8brgTW/nzUJNmaQzp PEiD..: - TrID..: File type identification Win32 Executable Borland Delphi 7 (56.1%) Win32 Executable Borland Delphi 5 (37.8%) Win32 EXE PECompact compressed (generic) (3.4%) Win32 Executable Delphi generic (1.2%) Win32 Executable Generic (0.7%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4ec414 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 8 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0xeb634 0xeb800 6.57 72039a4bc803cd3529b814a93acb9819 DATA 0xed000 0x431c 0x4400 5.16 29273686a43d5d556514d608f0631c67 BSS 0xf2000 0x2ae1 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0xf5000 0x2bb2 0x2c00 4.90 c4c0870b46eacfbdf144b97688a48066 .tls 0xf8000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0xf9000 0x18 0x200 0.21 2432f88b790f33fb20e348bfd875d976 .reloc 0xfa000 0x103a8 0x10400 6.66 d371e8d8cfb07b4465747826b1f3046d .rsrc 0x10b000 0x35e400 0x35e400 6.03 bd4bd8d72fa53b881bb4d649905eb4b9 ( 22 imports ) > kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, SetCurrentDirectoryA, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle > user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey > oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen > kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA > advapi32.dll: RegSetValueExA, RegQueryValueExA, RegQueryInfoKeyA, RegOpenKeyExA, RegFlushKey, RegEnumValueA, RegEnumKeyExA, RegDeleteValueA, RegDeleteKeyA, RegCreateKeyExA, RegCloseKey, GetUserNameA > kernel32.dll: lstrcpyA, lstrcmpA, WritePrivateProfileStringA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, UnmapViewOfFile, SuspendThread, Sleep, SizeofResource, SetThreadPriority, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, SetCurrentDirectoryA, ResumeThread, ResetEvent, ReleaseMutex, ReadFile, MultiByteToWideChar, MulDiv, MapViewOfFile, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalSize, GlobalReAlloc, GlobalMemoryStatus, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetTimeZoneInformation, GetTickCount, GetThreadLocale, GetTempPathA, GetSystemInfo, GetSystemDirectoryA, GetStringTypeExA, GetStdHandle, GetProcAddress, GetPrivateProfileStringA, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeThread, GetDriveTypeA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnumCalendarInfoA, EnterCriticalSection, DeleteFileA, DeleteCriticalSection, CreateThread, CreateProcessA, CreateMutexA, CreateFileMappingA, CreateFileA, CreateEventA, CreateDirectoryA, CopyFileA, CompareStringA, CloseHandle > version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA > gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetEnhMetaFileBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SelectClipRgn, SaveDC, RoundRect, RestoreDC, Rectangle, RectVisible, RealizePalette, Polyline, PlayEnhMetaFile, Pie, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetTextMetricsA, GetTextExtentPointA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectType, GetObjectA, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, GdiFlush, ExtTextOutA, ExcludeClipRect, Ellipse, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreateRoundRectRgn, CreatePenIndirect, CreatePen, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, BitBlt > user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, ValidateRect, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowRgn, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClipboardData, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OpenClipboard, OffsetRect, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMessagePos, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDoubleClickTime, GetDlgItem, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetAsyncKeyState, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, EmptyClipboard, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, CloseClipboard, ClientToScreen, ChildWindowFromPoint, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout > kernel32.dll: Sleep > oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit > ole32.dll: CoTaskMemFree, CoTaskMemAlloc, CLSIDFromProgID, CoCreateInstance, CoUninitialize, CoInitialize > oleaut32.dll: GetErrorInfo, SysFreeString > comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_GetIcon, ImageList_Remove, ImageList_DrawEx, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls > shell32.dll: Shell_NotifyIconA, ShellExecuteA, SHGetFileInfoA, ExtractAssociatedIconA > comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA > networkdll.dll: GetHttpFileThread, PostVirusInfo > opfile.dll: GetPeFileCodeMd5 > spkdll.dll: FixPrgamInList, GetPrgamListInfo, OptRegResult, ContrlRegProtect, WaitForRegEvent, StartRegProtect, RestoreFsdDispatchHook, RestoreFsdInlineHook, RestoreInlineHook, RestoreSsdtHook, SearchShadowTableHook, SearchSSDTHook, SearchDriver, GetProcModuleFile, killProcess, SearchProcess, killFile > winmm.dll: timeGetTime > advapi32.dll: QueryServiceConfigA, OpenServiceA, OpenSCManagerA, EnumServicesStatusA, CloseServiceHandle ( 0 exports ) Bei den ersten beiden Dateien hat VirusTotal gesagt, sie seien erst kürzlich überprüft wurden. Vielleicht ist das ja auch noch interessant. So, dann zieh ich jetzt hier mal den Stecker und hoffe, dass der Ärmste den Virenbefall gut übersteht. Bis dann, Diana |
18.12.2008, 21:54 | #4 |
| Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Versuchen wir den zu finden. Arbeite bitte diese Liste ab. 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 2.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!) 3.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! ciao, andreas |
19.12.2008, 02:39 | #5 |
| Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Mal sehen, ob ich das alles kapiert habe 2.) Blacklight hat keine Fehler gefunden. Malwarebytes Antimalware sagt folgendes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1517 Windows 5.1.2600 Service Pack 3 19.12.2008 00:23:03 mbam-log-2008-12-19 (00-23-03).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 132726 Laufzeit: 1 hour(s), 5 minute(s), 26 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 3 Infizierte Registrierungsschlüssel: 19 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 41 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\pmnlmmNH.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\zovqwl.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\nnnnLbBU.dll (Trojan.Vundo) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{400dc12c-6191-469f-a75b-f2c35248332c} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{400dc12c-6191-469f-a75b-f2c35248332c} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnnlbbu (Trojan.Vundo.H) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d999b8e9-c851-4f1e-b27c-d1c5ca3137b0} (Trojan.Vundo.H) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{d999b8e9-c851-4f1e-b27c-d1c5ca3137b0} (Trojan.Vundo.H) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f0f0cf21-6d42-41a7-91c4-d6dbefdf1e56} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{f0f0cf21-6d42-41a7-91c4-d6dbefdf1e56} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{400dc12c-6191-469f-a75b-f2c35248332c} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d999b8e9-c851-4f1e-b27c-d1c5ca3137b0} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\pmnlmmnh -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\pmnlmmnh -> Delete on reboot. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\zovqwl.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\nnnnLbBU.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\pmnlmmNH.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\HNmmlnmp.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\HNmmlnmp.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ifjfmvsv.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vsvmfjfi.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\kcmtdcyt.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tycdtmck.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mktrtxio.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\oixtrtkm.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tpvdxxmp.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\pmxxdvpt.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wgqkvmxg.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\gxmvkqgw.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\xqtnlrwf.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fwrlntqx.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\xrwrqvov.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vovqrwrx.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXA3ST67\kb600179[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXA3ST67\index[2] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\flwbfr.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\omsfpucg.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\orbuhgpc.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\maqjvb.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mqyfvhid.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fckvov.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\moxkvrwt.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\pbofjopk.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\pdpjxlss.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\skzjhb.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tmjxsn.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\dgwmfsad.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\csaciovy.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\byehgnus.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\atvgcu.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\xpbufu.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\xtyklj.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\sxkbcnlc.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ghdjcsmg.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\egwiko.dll (Trojan.Vundo) -> Quarantined and deleted successfully. 3.) Combofix: Code:
ATTFilter ComboFix 08-12-18.01 - *** 2008-12-19 0:46:42.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.727 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\amyxeybi.ini c:\windows\system32\bingdgwq.ini c:\windows\system32\cbqmcubk.ini c:\windows\system32\fudtat.dll c:\windows\system32\fviqdfqg.dll c:\windows\system32\iccanf.dll c:\windows\system32\IQqqAJlm.ini c:\windows\system32\IQqqAJlm.ini2 c:\windows\system32\jmnjdwbs.ini c:\windows\system32\lfvgoh.dll c:\windows\system32\ljyvialu.ini c:\windows\system32\pxkfex.dll c:\windows\system32\qtsyguai.ini c:\windows\system32\radyjdfy.dll c:\windows\system32\rituxikv.ini c:\windows\system32\rkycpbee.dll c:\windows\system32\tejicuth.dll c:\windows\system32\tvtvpkvq.ini c:\windows\Tasks\bxdeerkb.job . ((((((((((((((((((((((( Dateien erstellt von 2008-11-18 bis 2008-12-18 )))))))))))))))))))))))))))))) . 2008-12-19 00:32 . 2008-12-19 00:38 <DIR> d-------- c:\programme\CCleaner 2008-12-19 00:31 . 2008-12-19 00:31 2,972,904 --a------ c:\programme\ccsetup214.exe 2008-12-18 23:08 . 2008-12-18 23:08 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-12-18 23:08 . 2008-12-18 23:08 <DIR> d-------- c:\dokumente und einstellungen\Diana\Anwendungsdaten\Malwarebytes 2008-12-18 23:08 . 2008-12-18 23:08 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-12-18 23:08 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-18 23:08 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-18 23:05 . 2008-12-18 23:05 <DIR> d-------- c:\programme\Neuer Ordner 2008-12-18 23:05 . 2008-12-18 23:06 2,539,400 --a------ c:\programme\Anti-Malware.exe 2008-12-18 02:14 . 2008-12-18 02:15 <DIR> d-------- c:\programme\HJT 2008-12-05 01:35 . 2008-12-05 09:28 <DIR> d-------- c:\programme\Spyware Cease 2008-12-05 01:35 . 2008-12-11 09:15 28,672 --a------ c:\windows\system32\drivers\RKHit.sys 2008-12-04 15:06 . 2008-12-04 15:06 268 --ah----- C:\sqmdata00.sqm 2008-12-04 15:06 . 2008-12-04 15:06 244 --ah----- C:\sqmnoopt00.sqm 2008-11-21 23:12 . 2008-11-21 23:12 <DIR> d-------- c:\temp\google . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-18 23:26 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2 2008-12-11 20:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2008-11-28 16:29 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2008-11-20 23:09 --------- d-----w c:\programme\PokerStars 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-19 11:49 --------- d-----w c:\programme\Messenger Plus! Live . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-02-14 486856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872] "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 90112] "WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696] "MSI"="c:\programme\MSI\MSI.exe" [2007-01-13 311296] "SpywareCease.exe"="c:\programme\Spyware Cease\SpywareCease.exe" [2008-12-11 4593152] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe] "PCTVOICE"="pctspk.exe" [2003-02-24 c:\windows\system32\pctspk.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\ OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216] c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\ Belkin Wireless USB Utility.lnk - c:\programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe [2005-10-28 1404928] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=zovqwl.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= R3 RkHit;RkHit;\??\c:\windows\system32\drivers\RKHit.sys [2008-12-05 28672] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad185983-953f-11dd-b3cc-0019e08487fd}] \Shell\AutoRun\command - F:\setupSNK.exe *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners 2008-11-28 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57] . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{4741B6FC-AD53-4984-8B1E-63C8050BB6AF} - (no file) HKLM-Run-Generic Host - wauclt.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = h**p://***.daemon-search.com/startpage IE: {{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - c:\poker\CDPoker\casino.exe IE: {{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - c:\poker\CDPoker\casino.exe - c:\windows\Downloaded Program Files\audiere.dll - c:\windows\Downloaded Program Files\gopets.ocx O16 -: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} hxxps://secure.gopetslive.com/dev/gopets.cab c:\windows\Downloaded Program Files\gopets.inf c:\windows\Downloaded Program Files\GoPetsWeb.ocx - O16 -: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab c:\windows\Downloaded Program Files\GoPetsWeb.inf FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\iwhfxvhd.default\ FF - prefs.js: browser.search.defaulturl - h**p://***.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://***.gmer.net Rootkit scan 2008-12-19 00:49:07 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-12-19 0:51:27 ComboFix-quarantined-files.txt 2008-12-18 23:50:17 Vor Suchlauf: 8.597.192.704 Bytes frei Nach Suchlauf: 8,644,845,568 Bytes frei 133 --- E O F --- 2008-11-12 11:03:56 5.) HJK: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:20:43, on 19.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe C:\Programme\OpenOffice.org 2.3\program\soffice.exe C:\Programme\OpenOffice.org 2.3\program\soffice.BIN C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe C:\WINDOWS\explorer.exe C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\qlketzd.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.daemon-search.com/startpage R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [MSI] C:\Programme\MSI\MSI.exe -nogui O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [SpywareCease.exe] C:\Programme\Spyware Cease\SpywareCease.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: Belkin Wireless USB Utility.lnk = C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://***.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1030227973732 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} (GoPets Control) - h**ps://secure.gopetslive.com/dev/gopets.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: zovqwl.dll O23 - Service: MSI Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe -- End of file - 6553 bytes Diana Edit: Ich hab gerade gelesen, dass es für Blacklight auch ein Log gibt. Allerdings kann ich das nicht finden. Ich habe Blacklight jetzt auch nicht gespeichert sondern nur auf "Ausführen" geklickt. Meines Wissens nach ist das ja dann irgendwo bei den temporären Dateien, oder? Und die hat ja der Cleaner gelöscht. Oder irre ich mich da? Geändert von lady chill (19.12.2008 um 02:53 Uhr) |
19.12.2008, 17:54 | #6 | |
| Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Hallo Diana, woher hast du Messenger Plus? Wenn er nichts gefunden hat, brauche ich das Log von Blacklight nicht. 1.) Deinstalliere (Start => Systemsteuerung => Software) folgende Programme: Code:
ATTFilter Acrobat Reader (veraltet) Spyware Cease Java (veraltet) Alles von Google Code:
ATTFilter c:\windows\system32\drivers\RKHit.sys c:\windows\system32\drivers\mrxsmb.sys Zitat:
4.) Combofix - Scripten a. Starte das Notepad (Start / Ausführen / notepad[Enter]) b. Jetzt füge mit Kopieren/Einfügen den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter File:: c:\windows\system32\zovqwl.dll Folder:: C:\Programme\Spyware Cease Dirlook:: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\temp C:\Programme\Neuer Ordner d. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. e. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. f. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann![/QUOTE] 5.) Überprüfe dein System bitte noch mit SUPERAntiSpyware und poste das log. 6.) CureIT Dr.Web
7.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation 8.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI. 9.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! ciao, andreas |
20.12.2008, 11:42 | #7 |
| Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Hallo Andreas, Messenger Plus müsste von Chip online sein. Bin mir nicht sicher. 2.) VirusTotal: Code:
ATTFilter Datei RKHit.sys empfangen 2008.12.19 20:32:34 (CET) Status: Beendet Ergebnis: 1/37 (2.71%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.12.19.3 2008.12.19 - AntiVir 7.9.0.45 2008.12.19 - Authentium 5.1.0.4 2008.12.19 - Avast 4.8.1281.0 2008.12.18 - AVG 8.0.0.199 2008.12.19 - BitDefender 7.2 2008.12.19 - CAT-QuickHeal 10.00 2008.12.19 - ClamAV 0.94.1 2008.12.19 - Comodo 781 2008.12.19 - DrWeb 4.44.0.09170 2008.12.19 - eSafe 7.0.17.0 2008.12.18 - eTrust-Vet 31.6.6269 2008.12.19 - Ewido 4.0 2008.12.19 - F-Prot 4.4.4.56 2008.12.19 - F-Secure 8.0.14332.0 2008.12.19 - Fortinet 3.117.0.0 2008.12.19 suspicious GData 19 2008.12.19 - Ikarus T3.1.1.45.0 2008.12.19 - K7AntiVirus 7.10.559 2008.12.19 - Kaspersky 7.0.0.125 2008.12.19 - McAfee 5469 2008.12.19 - McAfee+Artemis 5468 2008.12.18 - Microsoft 1.4205 2008.12.19 - NOD32 3706 2008.12.19 - Norman 5.80.02 2008.12.19 - Panda 9.0.0.4 2008.12.19 - PCTools 4.4.2.0 2008.12.19 - Prevx1 V2 2008.12.19 - Rising 21.08.42.00 2008.12.19 - SecureWeb-Gateway 6.7.6 2008.12.19 - Sophos 4.37.0 2008.12.19 - Sunbelt 3.2.1801.2 2008.12.11 - Symantec 10 2008.12.19 - TheHacker 6.3.1.4.193 2008.12.19 - TrendMicro 8.700.0.1004 2008.12.19 - ViRobot 2008.12.19.1527 2008.12.19 - VirusBuster 4.5.11.0 2008.12.19 - weitere Informationen File size: 28672 bytes MD5...: 6852255bf1e46c2985f3c7c8395f0709 SHA1..: face9d148737cc77de62acc7a23076113b431291 SHA256: db9c48c132eeee3a95fff1e1dab968f3383a40584949e56127c7e2b686de71d3 SHA512: 0ecf0b2bf91b2937e945a6888cb576d2f60bd49f31456b6c99842bb5ebd132b3 c75df0cc5aad7b8e62fed6a73b3301b0b17baf415571076677b5e37be0c07505 ssdeep: 768:KUnDOw1stCigwkdo2adwovNmSYf8hBYNGx8qipyEEZ:nDOesEwkdo2adwovN mSG8/YNm8qsyEw PEiD..: - TrID..: File type identification Win32 Executable Generic (51.1%) Win16/32 Executable Delphi generic (12.4%) Clipper DOS Executable (12.1%) Generic Win/DOS Executable (12.0%) DOS Executable Generic (12.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x16105 timedatestamp.....: 0x48ec6f4b (Wed Oct 08 08:28:59 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x480 0x4848 0x4880 6.25 0c8a6c9096dfedff82022f6545dd943e .rdata 0x4d00 0x2d4 0x300 3.80 7841baca526e2e37bb9ec0dfdfda45f8 .data 0x5000 0x1090 0x1100 0.01 15800a9c230a2a86476577d9a2d48c09 INIT 0x6100 0x95e 0x980 5.32 c418ad8e3723813b7d2deeaf193e24d6 .reloc 0x6a80 0x578 0x580 6.20 cec7738a6b0049dfaa636f5bc9e67a8b ( 2 imports ) > ntoskrnl.exe: _except_handler3, MmUnlockPages, ObfDereferenceObject, KeUnstackDetachProcess, KeStackAttachProcess, PsLookupProcessByProcessId, MmIsAddressValid, KeInitializeSpinLock, ObReferenceObjectByName, IoDriverObjectType, RtlInitUnicodeString, ExFreePool, _stricmp, strrchr, ExAllocatePoolWithTag, ZwQuerySystemInformation, IoFileObjectType, ZwClose, ObReferenceObjectByHandle, ZwOpenKey, PsProcessType, IoDeviceObjectType, MmSectionObjectType, ZwUnmapViewOfSection, ZwMapViewOfSection, ZwCreateSection, ZwOpenFile, RtlImageDirectoryEntryToData, NtBuildNumber, RtlAppendUnicodeStringToString, RtlVolumeDeviceToDosName, IoCreateFile, wcscpy, ProbeForRead, IoGetCurrentProcess, KeGetCurrentThread, KeServiceDescriptorTable, ObQueryNameString, ObReferenceObjectByPointer, ObOpenObjectByPointer, PsGetVersion, IoAllocateMdl, IoThreadToProcess, PsLookupThreadByThreadId, NtGlobalFlag, PsThreadType, IofCallDriver, ZwOpenDirectoryObject, MmGetVirtualForPhysical, MmGetPhysicalAddress, MmSystemRangeStart, IoFreeIrp, KeSetEvent, KeWaitForSingleObject, MmBuildMdlForNonPagedPool, IoAllocateIrp, IoGetBaseFileSystemDeviceObject, KeInitializeEvent, IoGetDeviceObjectPointer, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, swprintf, IoGetConfigurationInformation, ZwTerminateProcess, PsGetCurrentProcessId, KeInsertQueueApc, KeInitializeApc, KeClearEvent, ExfInterlockedInsertTailList, ExfInterlockedRemoveHeadList, wcsstr, _wcsupr, IoCreateSynchronizationEvent, MmGetSystemRoutineAddress, ZwOpenEvent, IoDeleteDevice, RtlInitAnsiString, IofCompleteRequest, IoCreateSymbolicLink, IoCreateDevice, KeTickCount, KeBugCheckEx, MmProbeAndLockPages, MmMapLockedPagesSpecifyCache, MmUserProbeAddress, IoFreeMdl > HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, KeStallExecutionProcessor ( 0 exports ) Code:
ATTFilter Datei mrxsmb.sys empfangen 2008.12.19 20:45:44 (CET) Status: Beendet Ergebnis: 0/38 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.12.19.3 2008.12.19 - AntiVir 7.9.0.45 2008.12.19 - Authentium 5.1.0.4 2008.12.19 - Avast 4.8.1281.0 2008.12.18 - AVG 8.0.0.199 2008.12.19 - BitDefender 7.2 2008.12.19 - CAT-QuickHeal 10.00 2008.12.19 - ClamAV 0.94.1 2008.12.19 - Comodo 781 2008.12.19 - DrWeb 4.44.0.09170 2008.12.19 - eSafe 7.0.17.0 2008.12.18 - eTrust-Vet 31.6.6269 2008.12.19 - Ewido 4.0 2008.12.19 - F-Prot 4.4.4.56 2008.12.18 - F-Secure 8.0.14332.0 2008.12.19 - Fortinet 3.117.0.0 2008.12.19 - GData 19 2008.12.19 - Ikarus T3.1.1.45.0 2008.12.19 - K7AntiVirus 7.10.559 2008.12.19 - Kaspersky 7.0.0.125 2008.12.19 - McAfee 5469 2008.12.19 - McAfee+Artemis 5468 2008.12.18 - Microsoft 1.4205 2008.12.19 - NOD32 3705 2008.12.19 - Norman 5.80.02 2008.12.19 - Panda 9.0.0.4 2008.12.19 - PCTools 4.4.2.0 2008.12.19 - Prevx1 V2 2008.12.19 - Rising 21.08.42.00 2008.12.19 - SecureWeb-Gateway 6.7.6 2008.12.19 - Sophos 4.37.0 2008.12.19 - Sunbelt 3.2.1801.2 2008.12.11 - Symantec 10 2008.12.19 - TheHacker 6.3.1.4.193 2008.12.19 - TrendMicro 8.700.0.1004 2008.12.19 - VBA32 3.12.8.10 2008.12.18 - ViRobot 2008.12.19.1527 2008.12.19 - VirusBuster 4.5.11.0 2008.12.19 - weitere Informationen File size: 455296 bytes MD5...: 60ae98742484e7ab80c3c1450e708148 SHA1..: 271499215ed328cac5a632073d07f0e013b8077d SHA256: eda62550bfb9ebb0fbe88cb55bb13c8f2636c620e52d691c7bef13357f68c7dc SHA512: e0cff68e9c57e5b4568b46a9d94abfdbab26dd606e9c713226300f399bc54232 dc51f3a71294a4c2bd4b487dba6c749736de5a9f7465365096626aefe467d098 ssdeep: 12288:cO5K4MwrUmkweiDXi+ypc59fcFan9xK7:ZTMuc+ypc59fcq9xK7 PEiD..: - TrID..: File type identification Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x77f83 timedatestamp.....: 0x4901afa3 (Fri Oct 24 11:21:07 2008) machinetype.......: 0x14c (I386) ( 11 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x400 0x1bbb7 0x1bc00 6.69 3f8a3fc760d2c55bdfb6eb3df8a01f88 SECUR 0x1c000 0x295 0x300 5.26 5e6ae332989794ef78931e9b2466a37e .rdata 0x1c300 0x2ad8 0x2b00 4.75 4721dff78c1bff9a97f78c4c402db9e0 .data 0x1ee00 0x5200 0x5200 0.91 3bbe61945602e0ad198097316eca2d26 PAGE 0x24000 0x425d5 0x42600 6.66 10b848584e6acdab7a988a37789fd444 PAGE4BRO 0x66600 0x13f4 0x1400 6.46 7b69ca4b43c65ba89a6539690cea94ed PAGE5NET 0x67a00 0x428 0x480 6.27 40f810fec2fb96a6de5a772e8c5ce747 PAGE 0x67e80 0x48 0x80 0.85 a99205c236429bdec2c015f203abf0a4 INIT 0x67f00 0x2a7e 0x2a80 5.92 5755d3d523136bfec70a7cc33f7fe4e2 .rsrc 0x6a980 0x3f8 0x400 3.45 dd217f84c870c7cbfcb03244bc282640 .reloc 0x6ad80 0x448c 0x4500 6.79 8856a0e04385addb23154dd793cb90bc ( 5 imports ) > HAL.dll: ExReleaseFastMutex, KfAcquireSpinLock, KfReleaseSpinLock, ExAcquireFastMutex, KeGetCurrentIrql > ksecdd.sys: CredMarshalTargetInfo, SecMakeSPNEx, AcquireCredentialsHandleW, SecMakeSPN, FreeCredentialsHandle, DeleteSecurityContext, InitializeSecurityContextW, FreeContextBuffer, InitSecurityInterfaceW, QueryContextAttributesW, MapSecurityError, GetSecurityUserInfo > ntoskrnl.exe: RtlCompareMemory, DbgPrint, KeQueryTimeIncrement, KeTickCount, RtlEqualUnicodeString, FsRtlIsNameInExpression, RtlOemStringToCountedUnicodeString, RtlOemStringToUnicodeString, RtlxOemStringToUnicodeSize, RtlUpcaseUnicodeString, ExIsResourceAcquiredSharedLite, ExIsResourceAcquiredExclusiveLite, FsRtlDoesNameContainWildCards, RtlFreeOemString, RtlUpcaseUnicodeStringToOemString, RtlUnicodeStringToOemString, ZwFreeVirtualMemory, KeUnstackDetachProcess, KeStackAttachProcess, IoGetRequestorProcess, _alldiv, ProbeForWrite, ProbeForRead, RtlVerifyVersionInfo, VerSetConditionMask, ObfDereferenceObject, IofCompleteRequest, IoFreeIrp, KeWaitForSingleObject, IofCallDriver, IoAllocateIrp, IoGetRelatedDeviceObject, KeLeaveCriticalRegion, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeEnterCriticalRegion, wcslen, _allmul, SeRegisterLogonSessionTerminatedRoutine, PoRegisterSystemState, SeUnregisterLogonSessionTerminatedRoutine, PoUnregisterSystemState, ZwSetValueKey, ExDeleteResourceLite, IoWMIRegistrationControl, MmBuildMdlForNonPagedPool, KeQuerySystemTime, MmUnmapLockedPages, KeGetCurrentThread, ExfInterlockedInsertTailList, ExInitializeNPagedLookasideList, ExFreePool, ExInitializeZone, KeInitializeSpinLock, InterlockedPopEntrySList, InterlockedPushEntrySList, ExDeleteNPagedLookasideList, RtlxUnicodeStringToOemSize, NlsMbOemCodePageTag, MmMapLockedPagesSpecifyCache, ExFreePoolWithTag, RtlCopySid, SeQueryInformationToken, IoGetRequestorProcessId, SeQuerySessionIdToken, FsRtlIsHpfsDbcsLegal, FsRtlIsFatDbcsLegal, IoBuildPartialMdl, RtlxUnicodeStringToAnsiSize, ExLocalTimeToSystemTime, RtlTimeFieldsToTime, RtlTimeToTimeFields, ExSystemTimeToLocalTime, RtlTimeToSecondsSince1970, RtlSecondsSince1970ToTime, RtlDecompressChunks, RtlCompareUnicodeString, MmSizeOfMdl, LsaFreeReturnBuffer, ExInitializeResourceLite, IoGetCurrentProcess, KeDelayExecutionThread, RtlRandom, ExInterlockedAddLargeStatistic, memmove, DbgBreakPoint, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, NtDeviceIoControlFile, _except_handler3, RtlCopyUnicodeString, IoRaiseInformationalHardError, IoAllocateMdl, RtlNtStatusToDosError, ZwDeviceIoControlFile, ZwCreateFile, _aulldiv, ObfReferenceObject, RtlCompressChunks, RtlGetCompressionWorkSpaceSize, MmLockPagableDataSection, KeCancelTimer, ExQueueWorkItem, MmUnlockPagableImageSection, KeSetTimer, KeInitializeDpc, KeClearEvent, KeInitializeTimer, _local_unwind2, RtlEqualSid, RtlUpcaseUnicodeChar, KeBugCheckEx, RtlInitUnicodeString, ZwOpenKey, ZwQueryValueKey, ZwClose, RtlFreeUnicodeString, RtlInitAnsiString, ZwWriteFile, RtlMultiByteToUnicodeN, RtlOemToUnicodeN, RtlUnicodeToOemN, RtlxAnsiStringToUnicodeSize, ZwFsControlFile, ZwSetInformationFile, ZwQueryInformationFile, RtlNtStatusToDosErrorNoTeb, RtlInitializeSid, RtlSubAuthoritySid, RtlSetOwnerSecurityDescriptor, RtlAbsoluteToSelfRelativeSD, ExReleaseFastMutexUnsafe, ExAcquireFastMutexUnsafe, SeSinglePrivilegeCheck, SeTokenIsAdmin, IoGetTopLevelIrp, IoSetTopLevelIrp, ZwReadFile, RtlPrefixUnicodeString, PsGetProcessImageFileName, SeTokenIsRestricted, _wcsnicmp, IoGetDeviceObjectPointer, IoBuildDeviceIoControlRequest, FsRtlNotifyCleanup, FsRtlNotifyFullChangeDirectory, FsRtlNotifyUninitializeSync, FsRtlNotifyInitializeSync, IoGetRequestorSessionId, FsRtlNotifyFullReportChange, IoCreateSymbolicLink, RtlGenerate8dot3Name, RtlUnicodeStringToCountedOemString, IoDeleteSymbolicLink, wcscat, ZwOpenEvent, ExEventObjectType, IoWMIWriteEvent, NtClose, strncmp, _strnicmp, SeAccessCheck, ObGetObjectSecurity, RtlCreateSecurityDescriptor, RtlSetDaclSecurityDescriptor, SeSetSecurityDescriptorInfo, ObReleaseObjectSecurity, IoGetFileObjectGenericMapping, RtlMapGenericMask, SeExports, RtlLengthSid, RtlCreateAcl, RtlAddAccessAllowedAce, IoAcquireCancelSpinLock, IoReleaseCancelSpinLock, ExfInterlockedRemoveHeadList, IoAllocateErrorLogEntry, IoWriteErrorLogEntry, RtlUpcaseUnicodeToOemN, PsTerminateSystemThread, PsCreateSystemThread, ZwWaitForSingleObject, ExfInterlockedAddUlong, KeResetEvent, MmProbeAndLockPages, KeSetEvent, MmUnlockPages, IoFreeMdl, RtlLengthRequiredSid, RtlLengthSecurityDescriptor, KeInitializeEvent, SeCaptureSubjectContext, SeLockSubjectContext, SeQueryAuthenticationIdToken, SeUnlockSubjectContext, RtlIntegerToUnicodeString, SeReleaseSubjectContext, RtlAnsiStringToUnicodeString, IoCreateFile, ExAllocatePoolWithTag, IoDeleteDevice, ObReferenceObjectByHandle, ZwCreateEvent, IoInitializeTimer, IoCreateDevice, IoIsOperationSynchronous, IoStartTimer, IoStopTimer, ExAcquireResourceSharedLite, wcscpy, IoIsSystemThread, ExRaiseStatus, MmMapLockedPages, RtlInitString, _stricmp, NtWriteFile, NtCreateFile, strncpy, _wcsicmp, RtlDeleteElementGenericTable, RtlEnumerateGenericTable, RtlNumberGenericTableElements, RtlInsertElementGenericTable, RtlLookupElementGenericTable, RtlEnumerateGenericTableWithoutSplaying, ExAllocatePoolWithQuotaTag, RtlExtendedMagicDivide, IoFileObjectType, KeBugCheck, RtlInitializeGenericTable, PsIsThreadTerminating > rdbss.sys: RxNameCacheScavengeNameCaches, RxNameCacheCreateEntry, RxNameCacheFetchEntry, RxNameCacheCheckEntry, RxNameCacheActivateEntry, RxNameCacheExpireEntry, RxNewMapUserBuffer, RxpAcquirePrefixTableLockExclusive, RxCeQueryTransportInformation, RxCeQueryAdapterStatus, RxFinalizeConnection, RxpReleasePrefixTableLock, RxIndicateChangeOfBufferingStateForSrvOpen, RxCeInitiateVCDisconnect, RxCeBuildConnection, RxCeBuildConnectionOverMultipleTransports, RxCeTearDownVC, RxCeTearDownConnection, RxCeQueryInformation, RxCeSend, RxPurgeAllFobxs, RxScavengeAllFobxs, RxCeBuildTransport, RxCeBuildAddress, RxCeTearDownAddress, RxCeTearDownTransport, RxLogEventWithAnnotation, RxDereferenceAndDeleteRxContext_Real, RxFinalizeNetRoot, RxSetMinirdrCancelRoutine, RxNameCacheInitialize, RxNameCacheInitializeEx, RxGetRDBSSProcess, RxNameCacheFinalize, RxNameCacheFinalizeEx, RxSetSrvCallDomainName, RxCancelTimerRequest, RxPostOneShotTimerRequest, RxLowIoGetBufferAddress, RxAcquireSharedFcbResourceInMRx, RxInferFileType, RxIndicateChangeOfBufferingState, RxFinishFcbInitialization, RxCreateNetFobx, RxPostToWorkerThread, RxCeSendDatagram, RxLockEnumerator, RxAcquireSharedFcbResourceInMRxEx, RxRegisterMinirdr, RxSpinDownMRxDispatcher, RxLogEventDirect, RxLogEventWithBufferDirect, RxFsdDispatch, RxpUnregisterMinirdr, RxLowIoCompletion, __RxSynchronizeBlockingOperationsMaybeDroppingFcbLock, RxResumeBlockedOperations_Serially, RxInitializeContext, RxGetFileSizeWithLock, RxReleaseFcbResourceInMRx, RxAcquireExclusiveFcbResourceInMRx, RxDispatchToWorkerThread, RxStopMinirdr, RxStartMinirdr, _RxFreePool, _RxAllocatePoolWithTag, RxSetDomainForMailslotBroadcast, RxReleaseFcbResourceForThreadInMRx, RxForceFinalizeAllVNetRoots, RxScavengeFobxsForNetRoot, RxCompleteRequest_Real, RxpDereferenceAndFinalizeNetFcb, RxPurgeRelatedFobxs, RxpDereferenceNetFcb, RxpTrackDereference, RxpReferenceNetFcb, RxpTrackReference > TDI.SYS: TdiDeregisterPnPHandlers, TdiRegisterPnPHandlers ( 0 exports ) packers (Kaspersky): PE_Patch Code:
ATTFilter ComboFix 08-12-18.01 - ***2008-12-19 22:37:42.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.655 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! FILE :: c:\windows\system32\zovqwl.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-11-19 bis 2008-12-19 )))))))))))))))))))))))))))))) . 2008-12-19 20:13 . 2008-12-19 20:27 <DIR> d-------- c:\windows\LastGood 2008-12-19 00:32 . 2008-12-19 00:38 <DIR> d-------- c:\programme\CCleaner 2008-12-19 00:31 . 2008-12-19 00:31 2,972,904 --a------ c:\programme\ccsetup214.exe 2008-12-18 23:08 . 2008-12-18 23:08 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-12-18 23:08 . 2008-12-18 23:08 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2008-12-18 23:08 . 2008-12-18 23:08 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-12-18 23:08 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-18 23:08 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-18 23:05 . 2008-12-18 23:05 <DIR> d-------- c:\programme\Neuer Ordner 2008-12-18 23:05 . 2008-12-18 23:06 2,539,400 --a------ c:\programme\Anti-Malware.exe 2008-12-18 02:14 . 2008-12-18 02:15 <DIR> d-------- c:\programme\HJT 2008-12-05 01:35 . 2008-12-11 09:15 28,672 --a------ c:\windows\system32\drivers\RKHit.sys 2008-12-04 15:06 . 2008-12-04 15:06 268 --ah----- C:\sqmdata00.sqm 2008-12-04 15:06 . 2008-12-04 15:06 244 --ah----- C:\sqmnoopt00.sqm 2008-11-21 23:12 . 2008-11-21 23:12 <DIR> d-------- c:\temp\google . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-19 19:25 --------- d-----w c:\programme\Sierra On-Line 2008-12-19 19:19 --------- d-----w c:\programme\PokerStars 2008-12-19 19:18 --------- d-----w c:\programme\Google 2008-12-19 19:17 --------- d-----w c:\programme\Java 2008-12-19 19:10 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2 2008-11-28 16:29 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-19 11:49 --------- d-----w c:\programme\Messenger Plus! Live 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll 2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of c:\dokumente und einstellungen\All Users\Anwendungsdaten\temp ---- ---- Directory of c:\programme\Neuer Ordner ---- ((((((((((((((((((((((((((((( snapshot@2008-12-19_ 0.49.29,84 ))))))))))))))))))))))))))))))))))))))))) . + 2008-07-18 20:10:48 94,920 ----a-w c:\windows\LastGood\system32\cdm.dll + 2008-07-18 20:07:34 270,880 ----a-w c:\windows\LastGood\system32\mucltui.dll + 2008-07-18 20:07:32 210,976 ----a-w c:\windows\LastGood\system32\muweb.dll + 2008-07-18 20:09:44 563,912 ----a-w c:\windows\LastGood\system32\wuapi.dll + 2008-07-18 20:10:42 53,448 ----a-w c:\windows\LastGood\system32\wuauclt.exe + 2008-07-18 20:09:42 1,811,656 ----a-w c:\windows\LastGood\system32\wuaueng.dll + 2008-07-18 20:09:46 325,832 ----a-w c:\windows\LastGood\system32\wucltui.dll + 2008-07-18 20:10:20 36,552 ----a-w c:\windows\LastGood\system32\wups.dll + 2008-07-18 20:10:40 45,768 ----a-w c:\windows\LastGood\system32\wups2.dll + 2008-07-18 20:09:44 205,000 ----a-w c:\windows\LastGood\system32\wuweb.dll - 2008-07-18 20:10:48 94,920 -c--a-w c:\windows\system32\dllcache\cdm.dll + 2008-10-16 13:09:44 92,696 -c--a-w c:\windows\system32\dllcache\cdm.dll - 2008-07-18 20:09:44 563,912 -c--a-w c:\windows\system32\dllcache\wuapi.dll + 2008-10-16 13:12:20 561,688 -c--a-w c:\windows\system32\dllcache\wuapi.dll - 2008-07-18 20:10:42 53,448 -c--a-w c:\windows\system32\dllcache\wuauclt.exe + 2008-10-16 13:09:44 51,224 -c--a-w c:\windows\system32\dllcache\wuauclt.exe - 2008-07-18 20:09:42 1,811,656 -c--a-w c:\windows\system32\dllcache\wuaueng.dll + 2008-10-16 13:13:40 1,809,944 -c--a-w c:\windows\system32\dllcache\wuaueng.dll - 2008-07-18 20:09:46 325,832 -c--a-w c:\windows\system32\dllcache\wucltui.dll + 2008-10-16 13:12:22 323,608 -c--a-w c:\windows\system32\dllcache\wucltui.dll - 2008-07-18 20:09:44 205,000 -c--a-w c:\windows\system32\dllcache\wuweb.dll + 2008-10-16 13:13:40 202,776 -c--a-w c:\windows\system32\dllcache\wuweb.dll - 2008-10-21 16:33:08 169,896 ----a-w c:\windows\system32\FNTCACHE.DAT + 2008-12-19 02:14:36 126,912 ----a-w c:\windows\system32\FNTCACHE.DAT + 2008-10-16 13:08:58 34,328 ----a-w c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll + 2008-10-16 13:09:44 43,544 ----a-w c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.788\wups2.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-02-14 486856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872] "Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 90112] "WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696] "MSI"="c:\programme\MSI\MSI.exe" [2007-01-13 311296] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe] "PCTVOICE"="pctspk.exe" [2003-02-24 c:\windows\system32\pctspk.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\ OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216] c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\ Belkin Wireless USB Utility.lnk - c:\programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe [2005-10-28 1404928] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= R3 RkHit;RkHit;\??\c:\windows\system32\drivers\RKHit.sys [2008-12-05 28672] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad185983-953f-11dd-b3cc-0019e08487fd}] \Shell\AutoRun\command - F:\setupSNK.exe . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://***.daemon-search.com/startpage c:\windows\Downloaded Program Files\audiere.dll - c:\windows\Downloaded Program Files\gopets.ocx O16 -: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} hxxps://secure.gopetslive.com/dev/gopets.cab c:\windows\Downloaded Program Files\gopets.inf c:\windows\Downloaded Program Files\GoPetsWeb.ocx - O16 -: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab c:\windows\Downloaded Program Files\GoPetsWeb.inf FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\iwhfxvhd.default\ FF - prefs.js: browser.search.defaulturl - hxxp://***.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://***.gmer.net Rootkit scan 2008-12-19 22:40:25 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-12-19 22:42:13 ComboFix-quarantined-files.txt 2008-12-19 21:41:57 ComboFix2.txt 2008-12-18 23:51:29 Vor Suchlauf: 9.505.112.064 Bytes frei Nach Suchlauf: 9,500,581,888 Bytes frei 143 --- E O F --- 2008-11-12 11:03:56 |
20.12.2008, 11:43 | #8 |
| Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 5.) SuperAntiSpyware Code:
ATTFilter SUPERAntiSpyware Scan Log h**p://***.superantispyware.com Generated 12/19/2008 at 11:18 PM Application Version : 4.23.1006 Core Rules Database Version : 3679 Trace Rules Database Version: 1658 Scan type : Complete Scan Total Scan Time : 00:22:51 Memory items scanned : 468 Memory threats detected : 0 Registry items scanned : 3322 Registry threats detected : 7 File items scanned : 12460 File threats detected : 4 Rogue.Component/Trace HKLM\Software\Microsoft\8CCD0F16 HKLM\Software\Microsoft\8CCD0F16#8ccd0f16 HKLM\Software\Microsoft\8CCD0F16#Version HKLM\Software\Microsoft\8CCD0F16#8ccda296 HKLM\Software\Microsoft\8CCD0F16#8ccdcb73 HKU\S-1-5-21-682003330-688789844-1708537768-1004\Software\Microsoft\CS41275 HKU\S-1-5-21-682003330-688789844-1708537768-1004\Software\Microsoft\FIAS4018 Adware.Vundo/Variant C:\SYSTEM VOLUME INFORMATION\_RESTORE{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2\A0000006.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2\A0000007.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2\A0000013.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2\A0000015.DLL Code:
ATTFilter fudtat.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Wahrscheinlich Trojan.Packed.369;; fviqdfqg.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Wahrscheinlich Trojan.Packed.369;; iccanf.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Wahrscheinlich Trojan.Packed.212;; lfvgoh.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Juan.60;Gelöscht.; pxkfex.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Juan.60;Gelöscht.; radyjdfy.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Juan.60;Gelöscht.; rkycpbee.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Juan.60;Gelöscht.; tejicuth.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Wahrscheinlich Trojan.Packed.212;; A0001459.bat;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP10;Wahrscheinlich BATCH.Virus;; A0000008.dll;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Wahrscheinlich Trojan.Packed.212;; A0000011.dll;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Trojan.Juan.60;Gelöscht.; A0000017.dll;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Trojan.Juan.60;Gelöscht.; A0000018.dll;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Wahrscheinlich Trojan.Packed.212;; A0000022.bat;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Wahrscheinlich BATCH.Virus;; A0000617.exe\data001;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP6\A0000617.exe;Adware.Casino;; A0000617.exe\data002;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP6\A0000617.exe;Adware.Casino;; A0000617.exe;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP6;Archiv enthält infizierte Objekte;Verschoben.; 7.) Panda Active Scan Code:
ATTFilter ;*********************************************************************************************************************************************************************************** ANALYSIS: 2008-12-20 03:35:11 PROTECTIONS: 1 MALWARE: 3 SUSPECTS: 1 ;*********************************************************************************************************************************************************************************** PROTECTIONS Description Version Active Updated ;=================================================================================================================================================================================== Avira AntiVir PersonalEdition 8.0.1.30 Yes Yes ;=================================================================================================================================================================================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;=================================================================================================================================================================================== 03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\A0000018.dll 03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\tejicuth.dll.vir 03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\A0000008.dll 03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\iccanf.dll.vir 04228218 Generic Trojan Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\fviqdfqg.dll.vir 04228218 Generic Trojan Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\fudtat.dll.vir 04412765 Generic Trojan Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe ;=================================================================================================================================================================================== SUSPECTS Sent Location ;=================================================================================================================================================================================== No C:\Daten\downloads\setup_msn.exe ;=================================================================================================================================================================================== VULNERABILITIES Id Severity Description ;=================================================================================================================================================================================== ;=================================================================================================================================================================================== Code:
ATTFilter Scan ---- Scanned: 517731 Detected: 2 Untreated: 0 Start time: 20.12.2008 03:41:43 Duration: 07:22:25 Finish time: 20.12.2008 11:04:08 Detected -------- Status Object ------ ------ deleted: adware not-a-virus:AdWare.Win32.SuperJuan.ewq File: C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\fudtat.dll.vir deleted: adware not-a-virus:AdWare.Win32.SuperJuan.ewq File: C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\fviqdfqg.dll.vir Events ------ Time Name Status Reason ---- ---- ------ ------ 20.12.2008 03:41:56 Running module: smss.exe\smss.exe ok scanned Statistics ---------- Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted ------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ --------- Settings -------- Parameter Value --------- ----- Security Level Recommended Action Prompt for action when the scan is complete Run mode Manually File types Scan all files Scan only new and changed files No Scan archives All Scan embedded OLE objects All Skip if object is larger than No Skip if scan takes longer than No Parse email formats No Scan password-protected archives No Enable iChecker technology No Enable iSwift technology No Show detected threats on "Detected" tab Yes Rootkits search Yes Deep rootkits search No Use heuristic analyzer Yes Quarantine ---------- Status Object Size Added ------ ------ ---- ----- Backup ------ Status Object Size ------ ------ ---- 9.) HJT Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:17:32, on 20.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\acs.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\Programme\Winamp\winampa.exe C:\Programme\MSI\MSI.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe C:\Programme\OpenOffice.org 2.3\program\soffice.exe C:\Programme\OpenOffice.org 2.3\program\soffice.BIN C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\PrevxCSI\prevxcsi.exe C:\WINDOWS\system32\svchost.exe C:\Programme\PrevxCSI\prevxcsi.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\qlketzd (1).com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.daemon-search.com/startpage R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [MSI] C:\Programme\MSI\MSI.exe -nogui O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: Belkin Wireless USB Utility.lnk = C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://***.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1030227973732 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} (GoPets Control) - h**ps://secure.gopetslive.com/dev/gopets.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: MSI Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe -- End of file - 5561 bytes Diana |
20.12.2008, 12:40 | #9 |
| Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Hallo Diana, die Logs sehen sauber aus, du scheinst den ersten Schritt die Systemwiederherstellung auszuschalten nicht gemacht zu haben. Zeigt der Rechner noch Auffälligkeiten? Lösche den Ordner C:\Dokumente und Einstellungen\Administrator\DoctorWeb. Die neueste Java Version gibt es hier: Download der Java-Software von Sun Microsystems Anstatt Acrobat Reader empfehle ich Foxit Reader, den gibt es hier: Foxit Software Start => Ausführen => combofix /u (auf das Leerzeichen achten!) => OK Alle anderen Programme, die wir im Laufe dieser Aktion installiert haben, solltest du deinstallieren/löschen. Frohe Weihnachten, andreas |
21.12.2008, 19:45 | #10 |
| Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Hallo Andreas, ich habe gerade mal nachgesehen und die Systemwiederherstellung ist tatsächlich wieder aktiviert. Warum das so ist, kann ich mir allerdings nicht erklären. Am 18.12. habe ich sie deaktiviert. Hat das denn jetzt irgendwelche Auswirkungen auf die Ergebnisse? Bis jetzt hat Avira sich nicht nochmal gemeldet. Es sieht so aus, als wäre wirklich wieder alles in Ordnung. Ich danke dir Liebe Grüße und frohe Weihnachten Diana |
21.12.2008, 19:59 | #11 | |
| Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18Zitat:
Frohe Weihnachten, andreas |
22.12.2008, 05:44 | #12 |
| Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Hello again, alles klar, hab sie deaktiviert. Kann die dauerhaft aus bleiben, oder sollte ich sie irgendwann wieder anschalten? Ich frage nur, weil er jedes mal wenn ich sie deaktiviere rummeckert, dass irgendwelche Änderungen dann nicht mehr rückgängig gemacht werden können usw. Hab jetzt nochmal einen Systemscan von Avira machen lassen und es wurden noch zwei Trojaner gefunden. Einmal den TR/Vundo.Gen in C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP14\A0001748.dll und den gleichen in C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP14\A0001749.dll Ich hab ja die Hoffnung, dass sich das Ganze mit dem Deaktivieren der Systemwiederherstellung erledigt haben könnte, da im Pfad ja irgendwas von "restore" steht. Ich hoffe ich liege da richtig. Gute Nacht, Diana |
22.12.2008, 16:22 | #13 | |||
| Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18Zitat:
Zitat:
Zitat:
Frohe Weihnachten, andreas |
22.12.2008, 16:56 | #14 |
| Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 Nee, dann lass ich die lieber aus. Also vielen Dank nochmal, dass du meinen Kunibert vor dem sicheren Tod gerettet hast. Frohe Weihnachten und einen guten Rutsch, Diana |
Themen zu Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 |
adobe, antivir, avira, dll, explorer, frage, generic, generic host, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, musik, opera, programme, rundll, sekunden, software, spyware, system 32, trojaner, usb, was tun, windows, windows xp, windows xp sp3, xp sp3, öffnet |