Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 18.12.2008, 03:01   #1
lady chill
 
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Standard

Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18



Hallo,

ich habe schon seit einer Weile diese beiden Trojaner, die mir regelmäßig von Avira angezeigt werden. Anfänglich noch einmal in der Stunde aber mittlerweile öffnet sich aller 3 Sekunden ein Avira-Fenster und meldet mir einen der beiden Viren. Entweder TR/Vundo.fxr.94 oder TR/Vundo.Gen.6.18
Deswegen hab ich jetzt AntiVir einfach deaktiviert, was ja auch nicht ganz Sinn und Zweck der Sache ist.
Löschen funktioniert nicht und ein kompletter Systemscan hat auch nichts gebracht.

Ich muss dazu sagen, dass ich leider IT-mäßig nicht sehr bewandert bin. Aber ich habe mich trotzdem mal an HJT versucht. Folgendes wurde ausgespuckt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:15:47, on 18.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MSI\MSI.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Spyware Cease\SpywareCease.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Opera\opera.exe
C:\Programme\HJT\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.daemon-search.com/startpage
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSI] C:\Programme\MSI\MSI.exe -nogui
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Generic Host] wauclt.exe
O4 - HKLM\..\Run: [SpywareCease.exe] C:\Programme\Spyware Cease\SpywareCease.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Belkin Wireless USB Utility.lnk = C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://***.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1030227973732
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} (GoPets Control) - h**ps://secure.gopetslive.com/dev/gopets.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: zovqwl.dll
O23 - Service: MSI Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 6075 bytes


Ich hoffe ich habe jetzt alles richtig gemacht. Kann man da noch was machen oder ist schon alles verloren?

Zum Schluss hab ich noch ein paar Fragen:

Bleiben die Trojaner jetzt im system 32 oder können sie auch meine Daten (Bilder, Musik etc.) infizieren?
Kann ich etwas tun, damit die Viren sich nicht weiter ausbreiten, solange ich nicht weiß, wie ich sie eliminieren kann?
Muss ich etwas beachten, wenn ich im Internet surfe?

Vielen Dank schonmal im Voraus.

Liebe Grüße
Diana

Alt 18.12.2008, 19:10   #2
john.doe
 
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Standard

Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18



Hallo und

Zitat:
Kann man da noch was machen oder ist schon alles verloren?
Vermutlich ist alles verloren, es sieht nach einem bot aus.
Zitat:
Bleiben die Trojaner jetzt im system 32 oder können sie auch meine Daten (Bilder, Musik etc.) infizieren?
Dazu müssen wir erstmal wissen, mit wem wir es zu tun haben. Es gibt Malware die Daten zerstört, die ist jedoch selten.
Zitat:
Kann ich etwas tun, damit die Viren sich nicht weiter ausbreiten, solange ich nicht weiß, wie ich sie eliminieren kann?
Computer vom Internet trennen. Von einem nicht infizierten Rechner alle Kennwörter ändern.
Zitat:
Muss ich etwas beachten, wenn ich im Internet surfe?
http://www.trojaner-board.de/65029-t...tml#post394238
Lies und klicke auf die Links bei Für die Zukunft.

Bitte folgende Dateien prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\wauclt.exe
C:\WINDOWS\system32\zovqwl.dll
C:\Programme\Spyware Cease\SpywareCease.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den Prüfsummen mit kopieren!

ciao, andreas
__________________


Alt 18.12.2008, 21:35   #3
lady chill
 
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Standard

Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18



Hallo und vielen Dank für die Antwort.

Das hört sich ja nicht so schön an. Ehrlich gesagt habe ich jetzt nicht damit gerechnet, dass es so ernst ist.

Trotzdem ich alle Anweisung befolgt habe, konnte ich die Datei C:\WINDOWS\system32\wauclt.exe nicht finden. Stattdessen habe ich jetzt die wuauclt.exe hochgeladen. Ich hoffe das war jetzt nicht komplett daneben.

Ich weiß jetzt nicht genau, was die Prüfsummen sind, deswegen kopiere ich mal das komplette Ergebnis:

Datei wuauclt.exe empfangen 2008.12.18 20:59:01 (CET)
Status: Beendet
Ergebnis: 1/38 (2.64%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.0 2008.12.18 -
AntiVir 7.9.0.45 2008.12.18 -
Authentium 5.1.0.4 2008.12.18 -
Avast 4.8.1281.0 2008.12.18 -
AVG 8.0.0.199 2008.12.18 -
BitDefender 7.2 2008.12.18 -
CAT-QuickHeal 10.00 2008.12.18 -
ClamAV 0.94.1 2008.12.18 -
Comodo 771 2008.12.17 -
DrWeb 4.44.0.09170 2008.12.18 -
eSafe 7.0.17.0 2008.12.18 -
eTrust-Vet 31.6.6267 2008.12.18 -
Ewido 4.0 2008.12.18 -
F-Prot 4.4.4.56 2008.12.18 -
F-Secure 8.0.14332.0 2008.12.18 Suspicious:W32/SCKeyLog!Gemini
Fortinet 3.117.0.0 2008.12.18 -
GData 19 2008.12.18 -
Ikarus T3.1.1.45.0 2008.12.18 -
K7AntiVirus 7.10.557 2008.12.18 -
Kaspersky 7.0.0.125 2008.12.18 -
McAfee 5468 2008.12.18 -
McAfee+Artemis 5468 2008.12.18 -
Microsoft 1.4205 2008.12.18 -
NOD32 3703 2008.12.18 -
Norman 5.80.02 2008.12.18 -
Panda 9.0.0.4 2008.12.18 -
PCTools 4.4.2.0 2008.12.18 -
Prevx1 V2 2008.12.18 -
Rising 21.08.32.00 2008.12.18 -
SecureWeb-Gateway 6.7.6 2008.12.18 -
Sophos 4.37.0 2008.12.18 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.18 -
TheHacker 6.3.1.4.191 2008.12.17 -
TrendMicro 8.700.0.1004 2008.12.18 -
VBA32 3.12.8.10 2008.12.18 -
ViRobot 2008.12.18.1525 2008.12.18 -
VirusBuster 4.5.11.0 2008.12.18 -
weitere Informationen
File size: 53448 bytes
MD5...: d316e28958873859b88d72cf47ad1ea5
SHA1..: 36a54a85121770e68f836bf32a0bf422a0c4e172
SHA256: afef34f482f5fb1f5768bdc63bc1dd8e787df5391b2fa0fa1e97041ecb72cae4
SHA512: c18b5124342b9a304da504b98674b289a307576056245d8b7cdcd27a32b8772b
0f679baa13838bcd981e8817c27f1644d2f4c265cbba43344e3f8f083be94af4
ssdeep: 768:J53RKoUAg+c6uzJBXJDy0g1FX3vxBytpiOKEcmu1jKvCLcDzfXSh/x0cdm
u1kC
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4042dd
timedatestamp.....: 0x48816313 (Sat Jul 19 03:44:19 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8c84 0x8e00 6.00 9079e1cf62cf93298b09b9c3840b6239
.data 0xa000 0xd54 0x400 5.81 aea75c550ab527cbfba56bc33d16ea93
.rsrc 0xb000 0x7b8 0x800 4.55 8dc19cba0c732cf17cca6e6eddcdc010
.reloc 0xc000 0xc8a 0xe00 3.10 56fa4b399c6d09575836259c52cf6c40

( 6 imports )
> KERNEL32.dll: CreateFileW, CreateDirectoryW, GetFileAttributesW, ExpandEnvironmentStringsW, lstrlenW, CreateProcessW, VerSetConditionMask, VerifyVersionInfoW, LoadLibraryW, OutputDebugStringW, WriteFile, FlushFileBuffers, GetModuleFileNameW, InterlockedIncrement, InterlockedDecrement, GetSystemTime, GetLastError, SetLastError, GetFileSize, CreateFileMappingW, MapViewOfFile, UnmapViewOfFile, SetFilePointer, SetEndOfFile, ReleaseMutex, WaitForSingleObject, CreateMutexW, CloseHandle, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, RtlUnwind, GetStartupInfoW, GetTimeZoneInformation, SystemTimeToTzSpecificLocalTime, GetSystemDirectoryW, LoadLibraryExW, GetDriveTypeW, GetVolumePathNameW, GetFileType, GetSystemInfo, GetModuleHandleW, CompareStringW, GetProcessHeap, HeapFree, HeapAlloc, GetCommandLineW, FreeLibrary, OpenEventW, GetProcAddress, WideCharToMultiByte, InterlockedExchange, Sleep, InterlockedCompareExchange
> msvcrt.dll: __dllonexit, _unlock, _controlfp, _terminate@@YAXXZ, free, malloc, memmove, memcpy, memset, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _lock, _cexit, __wgetmainargs, _vsnwprintf, _onexit, _exit
> ole32.dll: CoTaskMemFree, CoUninitialize, CoCreateInstance, CoInitialize, CoInitializeEx
> ADVAPI32.dll: AllocateAndInitializeSid, FreeSid, GetTokenInformation, DuplicateTokenEx, CheckTokenMembership, IsValidSid, CopySid, RegCreateKeyExW, RegSetValueExW, RegQueryValueExW, GetUserNameW, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegOpenKeyExW, RegCloseKey
> OLEAUT32.dll: -, -
> SHLWAPI.dll: StrRChrW, -, PathStripToRootW, PathIsRelativeW, StrChrW, PathIsRootW, PathIsUNCW

( 0 exports )


Datei zovqwl.dll empfangen 2008.12.18 21:13:43 (CET)
Status: Beendet
Ergebnis: 16/38 (42.11%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.0 2008.12.18 -
AntiVir 7.9.0.45 2008.12.18 TR/Vundo.Gen.6.26
Authentium 5.1.0.4 2008.12.18 -
Avast 4.8.1281.0 2008.12.18 -
AVG 8.0.0.199 2008.12.18 Vundo.CK
BitDefender 7.2 2008.12.18 Trojan.Vundo.Gen.6
CAT-QuickHeal 10.00 2008.12.18 -
ClamAV 0.94.1 2008.12.18 -
Comodo 771 2008.12.17 -
DrWeb 4.44.0.09170 2008.12.18 -
eSafe 7.0.17.0 2008.12.18 Suspicious File
eTrust-Vet 31.6.6267 2008.12.18 Win32/Vundo!generic
Ewido 4.0 2008.12.18 -
F-Prot 4.4.4.56 2008.12.18 W32/Virtumonde.AC.gen!Eldorado
F-Secure 8.0.14332.0 2008.12.18 -
Fortinet 3.117.0.0 2008.12.18 -
GData 19 2008.12.18 Trojan.Vundo.Gen.6
Ikarus T3.1.1.45.0 2008.12.18 Trojan.Win32.Vundo
K7AntiVirus 7.10.557 2008.12.18 -
Kaspersky 7.0.0.125 2008.12.18 -
McAfee 5468 2008.12.18 -
McAfee+Artemis 5468 2008.12.18 -
Microsoft 1.4205 2008.12.18 Trojan:Win32/Vundo.gen!R
NOD32 3703 2008.12.18 Win32/Adware.SuperJuan
Norman 5.80.02 2008.12.18 -
Panda 9.0.0.4 2008.12.18 -
PCTools 4.4.2.0 2008.12.18 -
Prevx1 V2 2008.12.18 Cloaked Malware
Rising 21.08.32.00 2008.12.18 Trojan.DL.Win32.Undef.col
SecureWeb-Gateway 6.7.6 2008.12.18 Trojan.Vundo.Gen.6.26
Sophos 4.37.0 2008.12.18 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.18 Packed.Generic.203
TheHacker 6.3.1.4.191 2008.12.17 -
TrendMicro 8.700.0.1004 2008.12.18 PAK_Generic.001
VBA32 3.12.8.10 2008.12.18 -
ViRobot 2008.12.18.1525 2008.12.18 Trojan.Win32.Virtumond.103424
VirusBuster 4.5.11.0 2008.12.18 -
weitere Informationen
File size: 103424 bytes
MD5...: ec318957ef361601060320b183a88c26
SHA1..: 27cdc82f734519d714abc6731d438416fa807241
SHA256: 731b90d3dc2dd6cbd18252bdf33b1043d9fb300eeace351a7784413421144b7b
SHA512: 1772ed708ebaebcd5274dbbaa1b9504720a10bbd488755dd5304b381e36306e6
59f51c4b89cded746b658faa399dfe2c190211913209ef364278897afc34129c
ssdeep: 3072:r63l4lXxAkOTCvh7sKPTKMSY/Dq+ZI/XRt:rkIXxAkiCvh7sKPTKMS2LGf
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001119
timedatestamp.....: 0x265fafa5 (Sun May 27 10:44:53 1990)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9000 0x8400 7.89 a3031c89221cc88c8710c9337104a194
.itext 0xa000 0x1000 0x200 3.42 2ed2dca0cae4ecfca41caf55f73ca9d5
.data 0xb000 0x39000 0x10600 7.99 9adae0b0102ae28cdde8d8d85355c686
.bss 0x44000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x45000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b

( 3 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: ExitProcess, GetSystemTimeAsFileTime, CloseHandle, GetStartupInfoA, GetModuleHandleA
> ADVAPI32.dll: RegQueryValueA, RegCloseKey, RegOpenKeyExA

( 0 exports )


Datei SpywareCease.exe empfangen 2008.12.18 21:21:03 (CET)
Status: Beendet
Ergebnis: 2/38 (5.27%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.0 2008.12.18 -
AntiVir 7.9.0.45 2008.12.18 -
Authentium 5.1.0.4 2008.12.18 W32/Agent.K.gen!Eldorado
Avast 4.8.1281.0 2008.12.18 -
AVG 8.0.0.199 2008.12.18 -
BitDefender 7.2 2008.12.18 -
CAT-QuickHeal 10.00 2008.12.18 -
ClamAV 0.94.1 2008.12.18 -
Comodo 771 2008.12.17 -
DrWeb 4.44.0.09170 2008.12.18 -
eSafe 7.0.17.0 2008.12.18 -
eTrust-Vet 31.6.6267 2008.12.18 -
Ewido 4.0 2008.12.18 -
F-Prot 4.4.4.56 2008.12.18 W32/Agent.K.gen!Eldorado
F-Secure 8.0.14332.0 2008.12.18 -
Fortinet 3.117.0.0 2008.12.18 -
GData 19 2008.12.18 -
Ikarus T3.1.1.45.0 2008.12.18 -
K7AntiVirus 7.10.557 2008.12.18 -
Kaspersky 7.0.0.125 2008.12.18 -
McAfee 5468 2008.12.18 -
McAfee+Artemis 5468 2008.12.18 -
Microsoft 1.4205 2008.12.18 -
NOD32 3703 2008.12.18 -
Norman 5.80.02 2008.12.18 -
Panda 9.0.0.4 2008.12.18 -
PCTools 4.4.2.0 2008.12.18 -
Prevx1 V2 2008.12.18 -
Rising 21.08.32.00 2008.12.18 -
SecureWeb-Gateway 6.7.6 2008.12.18 -
Sophos 4.37.0 2008.12.18 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.18 -
TheHacker 6.3.1.4.191 2008.12.17 -
TrendMicro 8.700.0.1004 2008.12.18 -
VBA32 3.12.8.10 2008.12.18 -
ViRobot 2008.12.18.1525 2008.12.18 -
VirusBuster 4.5.11.0 2008.12.18 -
weitere Informationen
File size: 4593152 bytes
MD5...: 6d553040195fe2bf22785ec8e74c124d
SHA1..: ec86baf30fab3488dcc694c877d56ac995522ad3
SHA256: 36acad11eef4fa65bb9353d83cb10bacdd6003a53091cd299c5527d205bd0912
SHA512: 2abd39da2a288b0fafc1a14d771b7fa3b1f5667dc0cddee59189344b1ddf0cb8
c7d5f537ce2758989d99a7988134a0b428ae11a2a1a0b1785711d0737e373c4f
ssdeep: 24576:8LHgSSqFbXB2L3sZPaoDiu85Kf+Ah+PLAbrXP4UDMJW/nzUJTumR8aQTzp
a:8jgUBL3DVbxh+8brgTW/nzUJNmaQzp
PEiD..: -
TrID..: File type identification
Win32 Executable Borland Delphi 7 (56.1%)
Win32 Executable Borland Delphi 5 (37.8%)
Win32 EXE PECompact compressed (generic) (3.4%)
Win32 Executable Delphi generic (1.2%)
Win32 Executable Generic (0.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4ec414
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0xeb634 0xeb800 6.57 72039a4bc803cd3529b814a93acb9819
DATA 0xed000 0x431c 0x4400 5.16 29273686a43d5d556514d608f0631c67
BSS 0xf2000 0x2ae1 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xf5000 0x2bb2 0x2c00 4.90 c4c0870b46eacfbdf144b97688a48066
.tls 0xf8000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xf9000 0x18 0x200 0.21 2432f88b790f33fb20e348bfd875d976
.reloc 0xfa000 0x103a8 0x10400 6.66 d371e8d8cfb07b4465747826b1f3046d
.rsrc 0x10b000 0x35e400 0x35e400 6.03 bd4bd8d72fa53b881bb4d649905eb4b9

( 22 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, SetCurrentDirectoryA, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> advapi32.dll: RegSetValueExA, RegQueryValueExA, RegQueryInfoKeyA, RegOpenKeyExA, RegFlushKey, RegEnumValueA, RegEnumKeyExA, RegDeleteValueA, RegDeleteKeyA, RegCreateKeyExA, RegCloseKey, GetUserNameA
> kernel32.dll: lstrcpyA, lstrcmpA, WritePrivateProfileStringA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, UnmapViewOfFile, SuspendThread, Sleep, SizeofResource, SetThreadPriority, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, SetCurrentDirectoryA, ResumeThread, ResetEvent, ReleaseMutex, ReadFile, MultiByteToWideChar, MulDiv, MapViewOfFile, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalSize, GlobalReAlloc, GlobalMemoryStatus, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetTimeZoneInformation, GetTickCount, GetThreadLocale, GetTempPathA, GetSystemInfo, GetSystemDirectoryA, GetStringTypeExA, GetStdHandle, GetProcAddress, GetPrivateProfileStringA, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeThread, GetDriveTypeA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnumCalendarInfoA, EnterCriticalSection, DeleteFileA, DeleteCriticalSection, CreateThread, CreateProcessA, CreateMutexA, CreateFileMappingA, CreateFileA, CreateEventA, CreateDirectoryA, CopyFileA, CompareStringA, CloseHandle
> version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetEnhMetaFileBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SelectClipRgn, SaveDC, RoundRect, RestoreDC, Rectangle, RectVisible, RealizePalette, Polyline, PlayEnhMetaFile, Pie, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetTextMetricsA, GetTextExtentPointA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectType, GetObjectA, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, GdiFlush, ExtTextOutA, ExcludeClipRect, Ellipse, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreateRoundRectRgn, CreatePenIndirect, CreatePen, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, BitBlt
> user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, ValidateRect, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowRgn, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClipboardData, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OpenClipboard, OffsetRect, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMessagePos, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDoubleClickTime, GetDlgItem, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetAsyncKeyState, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, EmptyClipboard, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, CloseClipboard, ClientToScreen, ChildWindowFromPoint, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
> kernel32.dll: Sleep
> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit
> ole32.dll: CoTaskMemFree, CoTaskMemAlloc, CLSIDFromProgID, CoCreateInstance, CoUninitialize, CoInitialize
> oleaut32.dll: GetErrorInfo, SysFreeString
> comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_GetIcon, ImageList_Remove, ImageList_DrawEx, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls
> shell32.dll: Shell_NotifyIconA, ShellExecuteA, SHGetFileInfoA, ExtractAssociatedIconA
> comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA
> networkdll.dll: GetHttpFileThread, PostVirusInfo
> opfile.dll: GetPeFileCodeMd5
> spkdll.dll: FixPrgamInList, GetPrgamListInfo, OptRegResult, ContrlRegProtect, WaitForRegEvent, StartRegProtect, RestoreFsdDispatchHook, RestoreFsdInlineHook, RestoreInlineHook, RestoreSsdtHook, SearchShadowTableHook, SearchSSDTHook, SearchDriver, GetProcModuleFile, killProcess, SearchProcess, killFile
> winmm.dll: timeGetTime
> advapi32.dll: QueryServiceConfigA, OpenServiceA, OpenSCManagerA, EnumServicesStatusA, CloseServiceHandle

( 0 exports )

Bei den ersten beiden Dateien hat VirusTotal gesagt, sie seien erst kürzlich überprüft wurden. Vielleicht ist das ja auch noch interessant.

So, dann zieh ich jetzt hier mal den Stecker und hoffe, dass der Ärmste den Virenbefall gut übersteht.

Bis dann,
Diana
__________________

Alt 18.12.2008, 21:54   #4
john.doe
 
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Standard

Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18



Versuchen wir den zu finden. Arbeite bitte diese Liste ab.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

3.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
4.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

Alt 19.12.2008, 02:39   #5
lady chill
 
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Standard

Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18



Mal sehen, ob ich das alles kapiert habe

2.) Blacklight hat keine Fehler gefunden.

Malwarebytes Antimalware sagt folgendes:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1517
Windows 5.1.2600 Service Pack 3

19.12.2008 00:23:03
mbam-log-2008-12-19 (00-23-03).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 132726
Laufzeit: 1 hour(s), 5 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 41

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\pmnlmmNH.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\zovqwl.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\nnnnLbBU.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{400dc12c-6191-469f-a75b-f2c35248332c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{400dc12c-6191-469f-a75b-f2c35248332c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnnlbbu (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d999b8e9-c851-4f1e-b27c-d1c5ca3137b0} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{d999b8e9-c851-4f1e-b27c-d1c5ca3137b0} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f0f0cf21-6d42-41a7-91c4-d6dbefdf1e56} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f0f0cf21-6d42-41a7-91c4-d6dbefdf1e56} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{400dc12c-6191-469f-a75b-f2c35248332c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d999b8e9-c851-4f1e-b27c-d1c5ca3137b0} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\pmnlmmnh -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\pmnlmmnh  -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\zovqwl.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\nnnnLbBU.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\pmnlmmNH.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\HNmmlnmp.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\HNmmlnmp.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ifjfmvsv.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vsvmfjfi.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kcmtdcyt.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tycdtmck.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mktrtxio.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\oixtrtkm.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tpvdxxmp.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pmxxdvpt.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wgqkvmxg.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gxmvkqgw.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xqtnlrwf.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fwrlntqx.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xrwrqvov.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vovqrwrx.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXA3ST67\kb600179[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXA3ST67\index[2] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\flwbfr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\omsfpucg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\orbuhgpc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\maqjvb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mqyfvhid.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fckvov.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\moxkvrwt.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pbofjopk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pdpjxlss.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\skzjhb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tmjxsn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dgwmfsad.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\csaciovy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\byehgnus.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\atvgcu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xpbufu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xtyklj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sxkbcnlc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ghdjcsmg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\egwiko.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
         

3.) Combofix:

Code:
ATTFilter
ComboFix 08-12-18.01 - *** 2008-12-19  0:46:42.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.1023.727 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\amyxeybi.ini
c:\windows\system32\bingdgwq.ini
c:\windows\system32\cbqmcubk.ini
c:\windows\system32\fudtat.dll
c:\windows\system32\fviqdfqg.dll
c:\windows\system32\iccanf.dll
c:\windows\system32\IQqqAJlm.ini
c:\windows\system32\IQqqAJlm.ini2
c:\windows\system32\jmnjdwbs.ini
c:\windows\system32\lfvgoh.dll
c:\windows\system32\ljyvialu.ini
c:\windows\system32\pxkfex.dll
c:\windows\system32\qtsyguai.ini
c:\windows\system32\radyjdfy.dll
c:\windows\system32\rituxikv.ini
c:\windows\system32\rkycpbee.dll
c:\windows\system32\tejicuth.dll
c:\windows\system32\tvtvpkvq.ini
c:\windows\Tasks\bxdeerkb.job

.
(((((((((((((((((((((((   Dateien erstellt von 2008-11-18 bis 2008-12-18  ))))))))))))))))))))))))))))))
.

2008-12-19 00:32 . 2008-12-19 00:38	<DIR>	d--------	c:\programme\CCleaner
2008-12-19 00:31 . 2008-12-19 00:31	2,972,904	--a------	c:\programme\ccsetup214.exe
2008-12-18 23:08 . 2008-12-18 23:08	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-12-18 23:08 . 2008-12-18 23:08	<DIR>	d--------	c:\dokumente und einstellungen\Diana\Anwendungsdaten\Malwarebytes
2008-12-18 23:08 . 2008-12-18 23:08	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-18 23:08 . 2008-12-03 19:52	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-18 23:08 . 2008-12-03 19:52	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-12-18 23:05 . 2008-12-18 23:05	<DIR>	d--------	c:\programme\Neuer Ordner
2008-12-18 23:05 . 2008-12-18 23:06	2,539,400	--a------	c:\programme\Anti-Malware.exe
2008-12-18 02:14 . 2008-12-18 02:15	<DIR>	d--------	c:\programme\HJT
2008-12-05 01:35 . 2008-12-05 09:28	<DIR>	d--------	c:\programme\Spyware Cease
2008-12-05 01:35 . 2008-12-11 09:15	28,672	--a------	c:\windows\system32\drivers\RKHit.sys
2008-12-04 15:06 . 2008-12-04 15:06	268	--ah-----	C:\sqmdata00.sqm
2008-12-04 15:06 . 2008-12-04 15:06	244	--ah-----	C:\sqmnoopt00.sqm
2008-11-21 23:12 . 2008-11-21 23:12	<DIR>	d--------	c:\temp\google

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-18 23:26	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2
2008-12-11 20:18	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-11-28 16:29	---------	d---a-w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-20 23:09	---------	d-----w	c:\programme\PokerStars
2008-10-24 11:21	455,296	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-19 11:49	---------	d-----w	c:\programme\Messenger Plus! Live
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-02-14 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 90112]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696]
"MSI"="c:\programme\MSI\MSI.exe" [2007-01-13 311296]
"SpywareCease.exe"="c:\programme\Spyware Cease\SpywareCease.exe" [2008-12-11 4593152]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe]
"PCTVOICE"="pctspk.exe" [2003-02-24 c:\windows\system32\pctspk.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Belkin Wireless USB Utility.lnk - c:\programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe [2005-10-28 1404928]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=zovqwl.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R3 RkHit;RkHit;\??\c:\windows\system32\drivers\RKHit.sys [2008-12-05 28672]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad185983-953f-11dd-b3cc-0019e08487fd}]
\Shell\AutoRun\command - F:\setupSNK.exe

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-11-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{4741B6FC-AD53-4984-8B1E-63C8050BB6AF} - (no file)
HKLM-Run-Generic Host - wauclt.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = h**p://***.daemon-search.com/startpage
IE: {{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - c:\poker\CDPoker\casino.exe
IE: {{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - c:\poker\CDPoker\casino.exe -

c:\windows\Downloaded Program Files\audiere.dll - c:\windows\Downloaded Program Files\gopets.ocx
O16 -: {E85362EF-40D4-4E5D-BE07-D6B036CCA277}
hxxps://secure.gopetslive.com/dev/gopets.cab
c:\windows\Downloaded Program Files\gopets.inf

c:\windows\Downloaded Program Files\GoPetsWeb.ocx - O16 -: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8}
hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
c:\windows\Downloaded Program Files\GoPetsWeb.inf
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\iwhfxvhd.default\
FF - prefs.js: browser.search.defaulturl - h**p://***.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://***.gmer.net
Rootkit scan 2008-12-19 00:49:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-19  0:51:27
ComboFix-quarantined-files.txt  2008-12-18 23:50:17

Vor Suchlauf: 8.597.192.704 Bytes frei
Nach Suchlauf: 8,644,845,568 Bytes frei

133	--- E O F ---	2008-11-12 11:03:56
         
4.) http://www.file-upload.net/download-...sting.txt.html

5.) HJK:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:20:43, on 19.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\explorer.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSI] C:\Programme\MSI\MSI.exe -nogui
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SpywareCease.exe] C:\Programme\Spyware Cease\SpywareCease.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Belkin Wireless USB Utility.lnk = C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://***.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1030227973732
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} (GoPets Control) - h**ps://secure.gopetslive.com/dev/gopets.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: zovqwl.dll
O23 - Service: MSI Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 6553 bytes
         
Liebe Grüße,
Diana


Edit:

Ich hab gerade gelesen, dass es für Blacklight auch ein Log gibt. Allerdings kann ich das nicht finden. Ich habe Blacklight jetzt auch nicht gespeichert sondern nur auf "Ausführen" geklickt. Meines Wissens nach ist das ja dann irgendwo bei den temporären Dateien, oder? Und die hat ja der Cleaner gelöscht. Oder irre ich mich da?


Geändert von lady chill (19.12.2008 um 02:53 Uhr)

Alt 19.12.2008, 17:54   #6
john.doe
 
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Standard

Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18



Hallo Diana,

woher hast du Messenger Plus?

Wenn er nichts gefunden hat, brauche ich das Log von Blacklight nicht.

1.) Deinstalliere (Start => Systemsteuerung => Software) folgende Programme:
Code:
ATTFilter
Acrobat Reader (veraltet)
Spyware Cease 
Java (veraltet)
Alles von Google
         
2.) Lass folgende Dateien bei Virustotal überprüfen:
Code:
ATTFilter
c:\windows\system32\drivers\RKHit.sys
c:\windows\system32\drivers\mrxsmb.sys
         
3.) Start HJT => Do a system scan only => Markiere:
Zitat:
O20 - AppInit_DLLs: zovqwl.dll
=> Fix checked

4.) Combofix - Scripten

a. Starte das Notepad (Start / Ausführen / notepad[Enter])

b. Jetzt füge mit Kopieren/Einfügen den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
File::
c:\windows\system32\zovqwl.dll

Folder::
C:\Programme\Spyware Cease

Dirlook::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\temp
C:\Programme\Neuer Ordner
         
c. Speichere im Notepad als CFScript.txt auf dem Desktop.

d. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.

e. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



f. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann![/QUOTE]

5.) Überprüfe dein System bitte noch mit SUPERAntiSpyware und poste das log.

6.) CureIT Dr.Web
  • Downloade Dr.Web CureIt!
  • Speichere es auf deinem Desktop.
  • Entpacke es in einen eigenen Ordner.
  • Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.
  • Lass alle Malware in den Quarantaene Ordner verschieben.
  • Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
  • Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.
  • Speichere das Logfile - siehe Anleitung - und poste es.

7.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

8.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

9.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

Alt 20.12.2008, 11:42   #7
lady chill
 
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Standard

Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18



Hallo Andreas,

Messenger Plus müsste von Chip online sein. Bin mir nicht sicher.

2.) VirusTotal:

Code:
ATTFilter
Datei RKHit.sys empfangen 2008.12.19 20:32:34 (CET)
Status:    Beendet 
Ergebnis: 1/37 (2.71%) 
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.12.19.3	2008.12.19	-
AntiVir	7.9.0.45	2008.12.19	-
Authentium	5.1.0.4	2008.12.19	-
Avast	4.8.1281.0	2008.12.18	-
AVG	8.0.0.199	2008.12.19	-
BitDefender	7.2	2008.12.19	-
CAT-QuickHeal	10.00	2008.12.19	-
ClamAV	0.94.1	2008.12.19	-
Comodo	781	2008.12.19	-
DrWeb	4.44.0.09170	2008.12.19	-
eSafe	7.0.17.0	2008.12.18	-
eTrust-Vet	31.6.6269	2008.12.19	-
Ewido	4.0	2008.12.19	-
F-Prot	4.4.4.56	2008.12.19	-
F-Secure	8.0.14332.0	2008.12.19	-
Fortinet	3.117.0.0	2008.12.19	suspicious
GData	19	2008.12.19	-
Ikarus	T3.1.1.45.0	2008.12.19	-
K7AntiVirus	7.10.559	2008.12.19	-
Kaspersky	7.0.0.125	2008.12.19	-
McAfee	5469	2008.12.19	-
McAfee+Artemis	5468	2008.12.18	-
Microsoft	1.4205	2008.12.19	-
NOD32	3706	2008.12.19	-
Norman	5.80.02	2008.12.19	-
Panda	9.0.0.4	2008.12.19	-
PCTools	4.4.2.0	2008.12.19	-
Prevx1	V2	2008.12.19	-
Rising	21.08.42.00	2008.12.19	-
SecureWeb-Gateway	6.7.6	2008.12.19	-
Sophos	4.37.0	2008.12.19	-
Sunbelt	3.2.1801.2	2008.12.11	-
Symantec	10	2008.12.19	-
TheHacker	6.3.1.4.193	2008.12.19	-
TrendMicro	8.700.0.1004	2008.12.19	-
ViRobot	2008.12.19.1527	2008.12.19	-
VirusBuster	4.5.11.0	2008.12.19	-
weitere Informationen
File size: 28672 bytes
MD5...: 6852255bf1e46c2985f3c7c8395f0709
SHA1..: face9d148737cc77de62acc7a23076113b431291
SHA256: db9c48c132eeee3a95fff1e1dab968f3383a40584949e56127c7e2b686de71d3
SHA512: 0ecf0b2bf91b2937e945a6888cb576d2f60bd49f31456b6c99842bb5ebd132b3
c75df0cc5aad7b8e62fed6a73b3301b0b17baf415571076677b5e37be0c07505
ssdeep: 768:KUnDOw1stCigwkdo2adwovNmSYf8hBYNGx8qipyEEZ:nDOesEwkdo2adwovN
mSG8/YNm8qsyEw
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (51.1%)
Win16/32 Executable Delphi generic (12.4%)
Clipper DOS Executable (12.1%)
Generic Win/DOS Executable (12.0%)
DOS Executable Generic (12.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x16105
timedatestamp.....: 0x48ec6f4b (Wed Oct 08 08:28:59 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x4848 0x4880 6.25 0c8a6c9096dfedff82022f6545dd943e
.rdata 0x4d00 0x2d4 0x300 3.80 7841baca526e2e37bb9ec0dfdfda45f8
.data 0x5000 0x1090 0x1100 0.01 15800a9c230a2a86476577d9a2d48c09
INIT 0x6100 0x95e 0x980 5.32 c418ad8e3723813b7d2deeaf193e24d6
.reloc 0x6a80 0x578 0x580 6.20 cec7738a6b0049dfaa636f5bc9e67a8b

( 2 imports ) 
> ntoskrnl.exe: _except_handler3, MmUnlockPages, ObfDereferenceObject, KeUnstackDetachProcess, KeStackAttachProcess, PsLookupProcessByProcessId, MmIsAddressValid, KeInitializeSpinLock, ObReferenceObjectByName, IoDriverObjectType, RtlInitUnicodeString, ExFreePool, _stricmp, strrchr, ExAllocatePoolWithTag, ZwQuerySystemInformation, IoFileObjectType, ZwClose, ObReferenceObjectByHandle, ZwOpenKey, PsProcessType, IoDeviceObjectType, MmSectionObjectType, ZwUnmapViewOfSection, ZwMapViewOfSection, ZwCreateSection, ZwOpenFile, RtlImageDirectoryEntryToData, NtBuildNumber, RtlAppendUnicodeStringToString, RtlVolumeDeviceToDosName, IoCreateFile, wcscpy, ProbeForRead, IoGetCurrentProcess, KeGetCurrentThread, KeServiceDescriptorTable, ObQueryNameString, ObReferenceObjectByPointer, ObOpenObjectByPointer, PsGetVersion, IoAllocateMdl, IoThreadToProcess, PsLookupThreadByThreadId, NtGlobalFlag, PsThreadType, IofCallDriver, ZwOpenDirectoryObject, MmGetVirtualForPhysical, MmGetPhysicalAddress, MmSystemRangeStart, IoFreeIrp, KeSetEvent, KeWaitForSingleObject, MmBuildMdlForNonPagedPool, IoAllocateIrp, IoGetBaseFileSystemDeviceObject, KeInitializeEvent, IoGetDeviceObjectPointer, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, swprintf, IoGetConfigurationInformation, ZwTerminateProcess, PsGetCurrentProcessId, KeInsertQueueApc, KeInitializeApc, KeClearEvent, ExfInterlockedInsertTailList, ExfInterlockedRemoveHeadList, wcsstr, _wcsupr, IoCreateSynchronizationEvent, MmGetSystemRoutineAddress, ZwOpenEvent, IoDeleteDevice, RtlInitAnsiString, IofCompleteRequest, IoCreateSymbolicLink, IoCreateDevice, KeTickCount, KeBugCheckEx, MmProbeAndLockPages, MmMapLockedPagesSpecifyCache, MmUserProbeAddress, IoFreeMdl
> HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, KeStallExecutionProcessor

( 0 exports )
         
Code:
ATTFilter
 	
Datei mrxsmb.sys empfangen 2008.12.19 20:45:44 (CET)
Status:    Beendet 
Ergebnis: 0/38 (0%) 
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.12.19.3	2008.12.19	-
AntiVir	7.9.0.45	2008.12.19	-
Authentium	5.1.0.4	2008.12.19	-
Avast	4.8.1281.0	2008.12.18	-
AVG	8.0.0.199	2008.12.19	-
BitDefender	7.2	2008.12.19	-
CAT-QuickHeal	10.00	2008.12.19	-
ClamAV	0.94.1	2008.12.19	-
Comodo	781	2008.12.19	-
DrWeb	4.44.0.09170	2008.12.19	-
eSafe	7.0.17.0	2008.12.18	-
eTrust-Vet	31.6.6269	2008.12.19	-
Ewido	4.0	2008.12.19	-
F-Prot	4.4.4.56	2008.12.18	-
F-Secure	8.0.14332.0	2008.12.19	-
Fortinet	3.117.0.0	2008.12.19	-
GData	19	2008.12.19	-
Ikarus	T3.1.1.45.0	2008.12.19	-
K7AntiVirus	7.10.559	2008.12.19	-
Kaspersky	7.0.0.125	2008.12.19	-
McAfee	5469	2008.12.19	-
McAfee+Artemis	5468	2008.12.18	-
Microsoft	1.4205	2008.12.19	-
NOD32	3705	2008.12.19	-
Norman	5.80.02	2008.12.19	-
Panda	9.0.0.4	2008.12.19	-
PCTools	4.4.2.0	2008.12.19	-
Prevx1	V2	2008.12.19	-
Rising	21.08.42.00	2008.12.19	-
SecureWeb-Gateway	6.7.6	2008.12.19	-
Sophos	4.37.0	2008.12.19	-
Sunbelt	3.2.1801.2	2008.12.11	-
Symantec	10	2008.12.19	-
TheHacker	6.3.1.4.193	2008.12.19	-
TrendMicro	8.700.0.1004	2008.12.19	-
VBA32	3.12.8.10	2008.12.18	-
ViRobot	2008.12.19.1527	2008.12.19	-
VirusBuster	4.5.11.0	2008.12.19	-
weitere Informationen
File size: 455296 bytes
MD5...: 60ae98742484e7ab80c3c1450e708148
SHA1..: 271499215ed328cac5a632073d07f0e013b8077d
SHA256: eda62550bfb9ebb0fbe88cb55bb13c8f2636c620e52d691c7bef13357f68c7dc
SHA512: e0cff68e9c57e5b4568b46a9d94abfdbab26dd606e9c713226300f399bc54232
dc51f3a71294a4c2bd4b487dba6c749736de5a9f7465365096626aefe467d098
ssdeep: 12288:cO5K4MwrUmkweiDXi+ypc59fcFan9xK7:ZTMuc+ypc59fcq9xK7
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x77f83
timedatestamp.....: 0x4901afa3 (Fri Oct 24 11:21:07 2008)
machinetype.......: 0x14c (I386)

( 11 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x400 0x1bbb7 0x1bc00 6.69 3f8a3fc760d2c55bdfb6eb3df8a01f88
SECUR 0x1c000 0x295 0x300 5.26 5e6ae332989794ef78931e9b2466a37e
.rdata 0x1c300 0x2ad8 0x2b00 4.75 4721dff78c1bff9a97f78c4c402db9e0
.data 0x1ee00 0x5200 0x5200 0.91 3bbe61945602e0ad198097316eca2d26
PAGE 0x24000 0x425d5 0x42600 6.66 10b848584e6acdab7a988a37789fd444
PAGE4BRO 0x66600 0x13f4 0x1400 6.46 7b69ca4b43c65ba89a6539690cea94ed
PAGE5NET 0x67a00 0x428 0x480 6.27 40f810fec2fb96a6de5a772e8c5ce747
PAGE 0x67e80 0x48 0x80 0.85 a99205c236429bdec2c015f203abf0a4
INIT 0x67f00 0x2a7e 0x2a80 5.92 5755d3d523136bfec70a7cc33f7fe4e2
.rsrc 0x6a980 0x3f8 0x400 3.45 dd217f84c870c7cbfcb03244bc282640
.reloc 0x6ad80 0x448c 0x4500 6.79 8856a0e04385addb23154dd793cb90bc

( 5 imports ) 
> HAL.dll: ExReleaseFastMutex, KfAcquireSpinLock, KfReleaseSpinLock, ExAcquireFastMutex, KeGetCurrentIrql
> ksecdd.sys: CredMarshalTargetInfo, SecMakeSPNEx, AcquireCredentialsHandleW, SecMakeSPN, FreeCredentialsHandle, DeleteSecurityContext, InitializeSecurityContextW, FreeContextBuffer, InitSecurityInterfaceW, QueryContextAttributesW, MapSecurityError, GetSecurityUserInfo
> ntoskrnl.exe: RtlCompareMemory, DbgPrint, KeQueryTimeIncrement, KeTickCount, RtlEqualUnicodeString, FsRtlIsNameInExpression, RtlOemStringToCountedUnicodeString, RtlOemStringToUnicodeString, RtlxOemStringToUnicodeSize, RtlUpcaseUnicodeString, ExIsResourceAcquiredSharedLite, ExIsResourceAcquiredExclusiveLite, FsRtlDoesNameContainWildCards, RtlFreeOemString, RtlUpcaseUnicodeStringToOemString, RtlUnicodeStringToOemString, ZwFreeVirtualMemory, KeUnstackDetachProcess, KeStackAttachProcess, IoGetRequestorProcess, _alldiv, ProbeForWrite, ProbeForRead, RtlVerifyVersionInfo, VerSetConditionMask, ObfDereferenceObject, IofCompleteRequest, IoFreeIrp, KeWaitForSingleObject, IofCallDriver, IoAllocateIrp, IoGetRelatedDeviceObject, KeLeaveCriticalRegion, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeEnterCriticalRegion, wcslen, _allmul, SeRegisterLogonSessionTerminatedRoutine, PoRegisterSystemState, SeUnregisterLogonSessionTerminatedRoutine, PoUnregisterSystemState, ZwSetValueKey, ExDeleteResourceLite, IoWMIRegistrationControl, MmBuildMdlForNonPagedPool, KeQuerySystemTime, MmUnmapLockedPages, KeGetCurrentThread, ExfInterlockedInsertTailList, ExInitializeNPagedLookasideList, ExFreePool, ExInitializeZone, KeInitializeSpinLock, InterlockedPopEntrySList, InterlockedPushEntrySList, ExDeleteNPagedLookasideList, RtlxUnicodeStringToOemSize, NlsMbOemCodePageTag, MmMapLockedPagesSpecifyCache, ExFreePoolWithTag, RtlCopySid, SeQueryInformationToken, IoGetRequestorProcessId, SeQuerySessionIdToken, FsRtlIsHpfsDbcsLegal, FsRtlIsFatDbcsLegal, IoBuildPartialMdl, RtlxUnicodeStringToAnsiSize, ExLocalTimeToSystemTime, RtlTimeFieldsToTime, RtlTimeToTimeFields, ExSystemTimeToLocalTime, RtlTimeToSecondsSince1970, RtlSecondsSince1970ToTime, RtlDecompressChunks, RtlCompareUnicodeString, MmSizeOfMdl, LsaFreeReturnBuffer, ExInitializeResourceLite, IoGetCurrentProcess, KeDelayExecutionThread, RtlRandom, ExInterlockedAddLargeStatistic, memmove, DbgBreakPoint, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, NtDeviceIoControlFile, _except_handler3, RtlCopyUnicodeString, IoRaiseInformationalHardError, IoAllocateMdl, RtlNtStatusToDosError, ZwDeviceIoControlFile, ZwCreateFile, _aulldiv, ObfReferenceObject, RtlCompressChunks, RtlGetCompressionWorkSpaceSize, MmLockPagableDataSection, KeCancelTimer, ExQueueWorkItem, MmUnlockPagableImageSection, KeSetTimer, KeInitializeDpc, KeClearEvent, KeInitializeTimer, _local_unwind2, RtlEqualSid, RtlUpcaseUnicodeChar, KeBugCheckEx, RtlInitUnicodeString, ZwOpenKey, ZwQueryValueKey, ZwClose, RtlFreeUnicodeString, RtlInitAnsiString, ZwWriteFile, RtlMultiByteToUnicodeN, RtlOemToUnicodeN, RtlUnicodeToOemN, RtlxAnsiStringToUnicodeSize, ZwFsControlFile, ZwSetInformationFile, ZwQueryInformationFile, RtlNtStatusToDosErrorNoTeb, RtlInitializeSid, RtlSubAuthoritySid, RtlSetOwnerSecurityDescriptor, RtlAbsoluteToSelfRelativeSD, ExReleaseFastMutexUnsafe, ExAcquireFastMutexUnsafe, SeSinglePrivilegeCheck, SeTokenIsAdmin, IoGetTopLevelIrp, IoSetTopLevelIrp, ZwReadFile, RtlPrefixUnicodeString, PsGetProcessImageFileName, SeTokenIsRestricted, _wcsnicmp, IoGetDeviceObjectPointer, IoBuildDeviceIoControlRequest, FsRtlNotifyCleanup, FsRtlNotifyFullChangeDirectory, FsRtlNotifyUninitializeSync, FsRtlNotifyInitializeSync, IoGetRequestorSessionId, FsRtlNotifyFullReportChange, IoCreateSymbolicLink, RtlGenerate8dot3Name, RtlUnicodeStringToCountedOemString, IoDeleteSymbolicLink, wcscat, ZwOpenEvent, ExEventObjectType, IoWMIWriteEvent, NtClose, strncmp, _strnicmp, SeAccessCheck, ObGetObjectSecurity, RtlCreateSecurityDescriptor, RtlSetDaclSecurityDescriptor, SeSetSecurityDescriptorInfo, ObReleaseObjectSecurity, IoGetFileObjectGenericMapping, RtlMapGenericMask, SeExports, RtlLengthSid, RtlCreateAcl, RtlAddAccessAllowedAce, IoAcquireCancelSpinLock, IoReleaseCancelSpinLock, ExfInterlockedRemoveHeadList, IoAllocateErrorLogEntry, IoWriteErrorLogEntry, RtlUpcaseUnicodeToOemN, PsTerminateSystemThread, PsCreateSystemThread, ZwWaitForSingleObject, ExfInterlockedAddUlong, KeResetEvent, MmProbeAndLockPages, KeSetEvent, MmUnlockPages, IoFreeMdl, RtlLengthRequiredSid, RtlLengthSecurityDescriptor, KeInitializeEvent, SeCaptureSubjectContext, SeLockSubjectContext, SeQueryAuthenticationIdToken, SeUnlockSubjectContext, RtlIntegerToUnicodeString, SeReleaseSubjectContext, RtlAnsiStringToUnicodeString, IoCreateFile, ExAllocatePoolWithTag, IoDeleteDevice, ObReferenceObjectByHandle, ZwCreateEvent, IoInitializeTimer, IoCreateDevice, IoIsOperationSynchronous, IoStartTimer, IoStopTimer, ExAcquireResourceSharedLite, wcscpy, IoIsSystemThread, ExRaiseStatus, MmMapLockedPages, RtlInitString, _stricmp, NtWriteFile, NtCreateFile, strncpy, _wcsicmp, RtlDeleteElementGenericTable, RtlEnumerateGenericTable, RtlNumberGenericTableElements, RtlInsertElementGenericTable, RtlLookupElementGenericTable, RtlEnumerateGenericTableWithoutSplaying, ExAllocatePoolWithQuotaTag, RtlExtendedMagicDivide, IoFileObjectType, KeBugCheck, RtlInitializeGenericTable, PsIsThreadTerminating
> rdbss.sys: RxNameCacheScavengeNameCaches, RxNameCacheCreateEntry, RxNameCacheFetchEntry, RxNameCacheCheckEntry, RxNameCacheActivateEntry, RxNameCacheExpireEntry, RxNewMapUserBuffer, RxpAcquirePrefixTableLockExclusive, RxCeQueryTransportInformation, RxCeQueryAdapterStatus, RxFinalizeConnection, RxpReleasePrefixTableLock, RxIndicateChangeOfBufferingStateForSrvOpen, RxCeInitiateVCDisconnect, RxCeBuildConnection, RxCeBuildConnectionOverMultipleTransports, RxCeTearDownVC, RxCeTearDownConnection, RxCeQueryInformation, RxCeSend, RxPurgeAllFobxs, RxScavengeAllFobxs, RxCeBuildTransport, RxCeBuildAddress, RxCeTearDownAddress, RxCeTearDownTransport, RxLogEventWithAnnotation, RxDereferenceAndDeleteRxContext_Real, RxFinalizeNetRoot, RxSetMinirdrCancelRoutine, RxNameCacheInitialize, RxNameCacheInitializeEx, RxGetRDBSSProcess, RxNameCacheFinalize, RxNameCacheFinalizeEx, RxSetSrvCallDomainName, RxCancelTimerRequest, RxPostOneShotTimerRequest, RxLowIoGetBufferAddress, RxAcquireSharedFcbResourceInMRx, RxInferFileType, RxIndicateChangeOfBufferingState, RxFinishFcbInitialization, RxCreateNetFobx, RxPostToWorkerThread, RxCeSendDatagram, RxLockEnumerator, RxAcquireSharedFcbResourceInMRxEx, RxRegisterMinirdr, RxSpinDownMRxDispatcher, RxLogEventDirect, RxLogEventWithBufferDirect, RxFsdDispatch, RxpUnregisterMinirdr, RxLowIoCompletion, __RxSynchronizeBlockingOperationsMaybeDroppingFcbLock, RxResumeBlockedOperations_Serially, RxInitializeContext, RxGetFileSizeWithLock, RxReleaseFcbResourceInMRx, RxAcquireExclusiveFcbResourceInMRx, RxDispatchToWorkerThread, RxStopMinirdr, RxStartMinirdr, _RxFreePool, _RxAllocatePoolWithTag, RxSetDomainForMailslotBroadcast, RxReleaseFcbResourceForThreadInMRx, RxForceFinalizeAllVNetRoots, RxScavengeFobxsForNetRoot, RxCompleteRequest_Real, RxpDereferenceAndFinalizeNetFcb, RxPurgeRelatedFobxs, RxpDereferenceNetFcb, RxpTrackDereference, RxpReferenceNetFcb, RxpTrackReference
> TDI.SYS: TdiDeregisterPnPHandlers, TdiRegisterPnPHandlers

( 0 exports ) 
packers (Kaspersky): PE_Patch
         
4.) Combofix

Code:
ATTFilter
ComboFix 08-12-18.01 - ***2008-12-19 22:37:42.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.1023.655 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\windows\system32\zovqwl.dll
.

(((((((((((((((((((((((   Dateien erstellt von 2008-11-19 bis 2008-12-19  ))))))))))))))))))))))))))))))
.

2008-12-19 20:13 . 2008-12-19 20:27	<DIR>	d--------	c:\windows\LastGood
2008-12-19 00:32 . 2008-12-19 00:38	<DIR>	d--------	c:\programme\CCleaner
2008-12-19 00:31 . 2008-12-19 00:31	2,972,904	--a------	c:\programme\ccsetup214.exe
2008-12-18 23:08 . 2008-12-18 23:08	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-12-18 23:08 . 2008-12-18 23:08	<DIR>	d--------	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2008-12-18 23:08 . 2008-12-18 23:08	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-18 23:08 . 2008-12-03 19:52	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-18 23:08 . 2008-12-03 19:52	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-12-18 23:05 . 2008-12-18 23:05	<DIR>	d--------	c:\programme\Neuer Ordner
2008-12-18 23:05 . 2008-12-18 23:06	2,539,400	--a------	c:\programme\Anti-Malware.exe
2008-12-18 02:14 . 2008-12-18 02:15	<DIR>	d--------	c:\programme\HJT
2008-12-05 01:35 . 2008-12-11 09:15	28,672	--a------	c:\windows\system32\drivers\RKHit.sys
2008-12-04 15:06 . 2008-12-04 15:06	268	--ah-----	C:\sqmdata00.sqm
2008-12-04 15:06 . 2008-12-04 15:06	244	--ah-----	C:\sqmnoopt00.sqm
2008-11-21 23:12 . 2008-11-21 23:12	<DIR>	d--------	c:\temp\google

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-19 19:25	---------	d-----w	c:\programme\Sierra On-Line
2008-12-19 19:19	---------	d-----w	c:\programme\PokerStars
2008-12-19 19:18	---------	d-----w	c:\programme\Google
2008-12-19 19:17	---------	d-----w	c:\programme\Java
2008-12-19 19:10	---------	d-----w	c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2
2008-11-28 16:29	---------	d---a-w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-24 11:21	455,296	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-19 11:49	---------	d-----w	c:\programme\Messenger Plus! Live
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:06	268,648	----a-w	c:\windows\system32\mucltui.dll
2008-10-16 13:06	208,744	----a-w	c:\windows\system32\muweb.dll
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of c:\dokumente und einstellungen\All Users\Anwendungsdaten\temp ----


---- Directory of c:\programme\Neuer Ordner ----



(((((((((((((((((((((((((((((   snapshot@2008-12-19_ 0.49.29,84   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-07-18 20:10:48	94,920	----a-w	c:\windows\LastGood\system32\cdm.dll
+ 2008-07-18 20:07:34	270,880	----a-w	c:\windows\LastGood\system32\mucltui.dll
+ 2008-07-18 20:07:32	210,976	----a-w	c:\windows\LastGood\system32\muweb.dll
+ 2008-07-18 20:09:44	563,912	----a-w	c:\windows\LastGood\system32\wuapi.dll
+ 2008-07-18 20:10:42	53,448	----a-w	c:\windows\LastGood\system32\wuauclt.exe
+ 2008-07-18 20:09:42	1,811,656	----a-w	c:\windows\LastGood\system32\wuaueng.dll
+ 2008-07-18 20:09:46	325,832	----a-w	c:\windows\LastGood\system32\wucltui.dll
+ 2008-07-18 20:10:20	36,552	----a-w	c:\windows\LastGood\system32\wups.dll
+ 2008-07-18 20:10:40	45,768	----a-w	c:\windows\LastGood\system32\wups2.dll
+ 2008-07-18 20:09:44	205,000	----a-w	c:\windows\LastGood\system32\wuweb.dll
- 2008-07-18 20:10:48	94,920	-c--a-w	c:\windows\system32\dllcache\cdm.dll
+ 2008-10-16 13:09:44	92,696	-c--a-w	c:\windows\system32\dllcache\cdm.dll
- 2008-07-18 20:09:44	563,912	-c--a-w	c:\windows\system32\dllcache\wuapi.dll
+ 2008-10-16 13:12:20	561,688	-c--a-w	c:\windows\system32\dllcache\wuapi.dll
- 2008-07-18 20:10:42	53,448	-c--a-w	c:\windows\system32\dllcache\wuauclt.exe
+ 2008-10-16 13:09:44	51,224	-c--a-w	c:\windows\system32\dllcache\wuauclt.exe
- 2008-07-18 20:09:42	1,811,656	-c--a-w	c:\windows\system32\dllcache\wuaueng.dll
+ 2008-10-16 13:13:40	1,809,944	-c--a-w	c:\windows\system32\dllcache\wuaueng.dll
- 2008-07-18 20:09:46	325,832	-c--a-w	c:\windows\system32\dllcache\wucltui.dll
+ 2008-10-16 13:12:22	323,608	-c--a-w	c:\windows\system32\dllcache\wucltui.dll
- 2008-07-18 20:09:44	205,000	-c--a-w	c:\windows\system32\dllcache\wuweb.dll
+ 2008-10-16 13:13:40	202,776	-c--a-w	c:\windows\system32\dllcache\wuweb.dll
- 2008-10-21 16:33:08	169,896	----a-w	c:\windows\system32\FNTCACHE.DAT
+ 2008-12-19 02:14:36	126,912	----a-w	c:\windows\system32\FNTCACHE.DAT
+ 2008-10-16 13:08:58	34,328	----a-w	c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll
+ 2008-10-16 13:09:44	43,544	----a-w	c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.788\wups2.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-02-14 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 90112]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696]
"MSI"="c:\programme\MSI\MSI.exe" [2007-01-13 311296]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe]
"PCTVOICE"="pctspk.exe" [2003-02-24 c:\windows\system32\pctspk.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Belkin Wireless USB Utility.lnk - c:\programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe [2005-10-28 1404928]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R3 RkHit;RkHit;\??\c:\windows\system32\drivers\RKHit.sys [2008-12-05 28672]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad185983-953f-11dd-b3cc-0019e08487fd}]
\Shell\AutoRun\command - F:\setupSNK.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://***.daemon-search.com/startpage

c:\windows\Downloaded Program Files\audiere.dll - c:\windows\Downloaded Program Files\gopets.ocx
O16 -: {E85362EF-40D4-4E5D-BE07-D6B036CCA277}
hxxps://secure.gopetslive.com/dev/gopets.cab
c:\windows\Downloaded Program Files\gopets.inf

c:\windows\Downloaded Program Files\GoPetsWeb.ocx - O16 -: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8}
hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
c:\windows\Downloaded Program Files\GoPetsWeb.inf
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\iwhfxvhd.default\
FF - prefs.js: browser.search.defaulturl - hxxp://***.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://***.gmer.net
Rootkit scan 2008-12-19 22:40:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-19 22:42:13
ComboFix-quarantined-files.txt  2008-12-19 21:41:57
ComboFix2.txt  2008-12-18 23:51:29

Vor Suchlauf: 9.505.112.064 Bytes frei
Nach Suchlauf: 9,500,581,888 Bytes frei

143	--- E O F ---	2008-11-12 11:03:56
         

Alt 20.12.2008, 11:43   #8
lady chill
 
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Standard

Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18



5.) SuperAntiSpyware

Code:
ATTFilter
SUPERAntiSpyware Scan Log
h**p://***.superantispyware.com

Generated 12/19/2008 at 11:18 PM

Application Version : 4.23.1006

Core Rules Database Version : 3679
Trace Rules Database Version: 1658

Scan type       : Complete Scan
Total Scan Time : 00:22:51

Memory items scanned      : 468
Memory threats detected   : 0
Registry items scanned    : 3322
Registry threats detected : 7
File items scanned        : 12460
File threats detected     : 4

Rogue.Component/Trace
	HKLM\Software\Microsoft\8CCD0F16
	HKLM\Software\Microsoft\8CCD0F16#8ccd0f16
	HKLM\Software\Microsoft\8CCD0F16#Version
	HKLM\Software\Microsoft\8CCD0F16#8ccda296
	HKLM\Software\Microsoft\8CCD0F16#8ccdcb73
	HKU\S-1-5-21-682003330-688789844-1708537768-1004\Software\Microsoft\CS41275
	HKU\S-1-5-21-682003330-688789844-1708537768-1004\Software\Microsoft\FIAS4018

Adware.Vundo/Variant
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2\A0000006.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2\A0000007.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2\A0000013.DLL
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2\A0000015.DLL
         
6.) DrWeb

Code:
ATTFilter
fudtat.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Wahrscheinlich Trojan.Packed.369;;
fviqdfqg.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Wahrscheinlich Trojan.Packed.369;;
iccanf.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Wahrscheinlich Trojan.Packed.212;;
lfvgoh.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Juan.60;Gelöscht.;
pxkfex.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Juan.60;Gelöscht.;
radyjdfy.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Juan.60;Gelöscht.;
rkycpbee.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Juan.60;Gelöscht.;
tejicuth.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Wahrscheinlich Trojan.Packed.212;;
A0001459.bat;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP10;Wahrscheinlich BATCH.Virus;;
A0000008.dll;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Wahrscheinlich Trojan.Packed.212;;
A0000011.dll;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Trojan.Juan.60;Gelöscht.;
A0000017.dll;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Trojan.Juan.60;Gelöscht.;
A0000018.dll;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Wahrscheinlich Trojan.Packed.212;;
A0000022.bat;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Wahrscheinlich BATCH.Virus;;
A0000617.exe\data001;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP6\A0000617.exe;Adware.Casino;;
A0000617.exe\data002;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP6\A0000617.exe;Adware.Casino;;
A0000617.exe;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP6;Archiv enthält infizierte Objekte;Verschoben.;
         


7.) Panda Active Scan

Code:
ATTFilter
;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-12-20 03:35:11
PROTECTIONS: 1
MALWARE: 3
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition                8.0.1.30                      Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\A0000018.dll
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\tejicuth.dll.vir
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\A0000008.dll
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\iccanf.dll.vir
04228218  Generic Trojan                     Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\fviqdfqg.dll.vir
04228218  Generic Trojan                     Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\fudtat.dll.vir
04412765  Generic Trojan                     Virus/Trojan        No        0         Yes            No           C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              
;===================================================================================================================================================================================
No        C:\Daten\downloads\setup_msn.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                
;===================================================================================================================================================================================
;===================================================================================================================================================================================
         
8.) AVP-Tool

Code:
ATTFilter
Scan
----
Scanned:	517731
Detected:	2
Untreated:	0
Start time:	20.12.2008 03:41:43
Duration:	07:22:25
Finish time:	20.12.2008 11:04:08


Detected
--------
Status	Object
------	------
deleted: adware not-a-virus:AdWare.Win32.SuperJuan.ewq	File: C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\fudtat.dll.vir
deleted: adware not-a-virus:AdWare.Win32.SuperJuan.ewq	File: C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\fviqdfqg.dll.vir


Events
------
Time	Name	Status	Reason
----	----	------	------
20.12.2008 03:41:56	Running module: smss.exe\smss.exe	ok	scanned


Statistics
----------
Object	Scanned	Detected	Untreated	Deleted	Moved to Quarantine	Archives	Packed files	Password protected	Corrupted
------	-------	--------	---------	-------	-------------------	--------	------------	------------------	---------


Settings
--------
Parameter	Value
---------	-----
Security Level	Recommended
Action	Prompt for action when the scan is complete
Run mode	Manually
File types	Scan all files
Scan only new and changed files	No
Scan archives	All
Scan embedded OLE objects	All
Skip if object is larger than	No
Skip if scan takes longer than	No
Parse email formats	No
Scan password-protected archives	No
Enable iChecker technology	No
Enable iSwift technology	No
Show detected threats on "Detected" tab	Yes
Rootkits search	Yes
Deep rootkits search	No
Use heuristic analyzer	Yes


Quarantine
----------
Status	Object	Size	Added
------	------	----	-----


Backup
------
Status	Object	Size
------	------	----
         
PrevXCSI sagt: clean

9.) HJT

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:17:32, on 20.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MSI\MSI.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\qlketzd (1).com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSI] C:\Programme\MSI\MSI.exe -nogui
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Belkin Wireless USB Utility.lnk = C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://***.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1030227973732
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} (GoPets Control) - h**ps://secure.gopetslive.com/dev/gopets.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: MSI Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe

--
End of file - 5561 bytes
         
Liebe Grüße,
Diana

Alt 20.12.2008, 12:40   #9
john.doe
 
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Standard

Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18



Hallo Diana,

die Logs sehen sauber aus, du scheinst den ersten Schritt die Systemwiederherstellung auszuschalten nicht gemacht zu haben. Zeigt der Rechner noch Auffälligkeiten?

Lösche den Ordner C:\Dokumente und Einstellungen\Administrator\DoctorWeb.

Die neueste Java Version gibt es hier: Download der Java-Software von Sun Microsystems

Anstatt Acrobat Reader empfehle ich Foxit Reader, den gibt es hier: Foxit Software

Start => Ausführen => combofix /u (auf das Leerzeichen achten!) => OK

Alle anderen Programme, die wir im Laufe dieser Aktion installiert haben, solltest du deinstallieren/löschen.

Frohe Weihnachten,
andreas

Alt 21.12.2008, 19:45   #10
lady chill
 
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Standard

Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18



Hallo Andreas,

ich habe gerade mal nachgesehen und die Systemwiederherstellung ist tatsächlich wieder aktiviert. Warum das so ist, kann ich mir allerdings nicht erklären. Am 18.12. habe ich sie deaktiviert. Hat das denn jetzt irgendwelche Auswirkungen auf die Ergebnisse?

Bis jetzt hat Avira sich nicht nochmal gemeldet. Es sieht so aus, als wäre wirklich wieder alles in Ordnung. Ich danke dir

Liebe Grüße und frohe Weihnachten
Diana

Alt 21.12.2008, 19:59   #11
john.doe
 
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Standard

Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18



Zitat:
Hat das denn jetzt irgendwelche Auswirkungen auf die Ergebnisse?
Nein, nur die selbe Malware wurde immer wieder gefunden. Deaktiviere die Systemwiederherstellung noch einmal, dann ist alles endgültig weg.

Frohe Weihnachten, andreas

Alt 22.12.2008, 05:44   #12
lady chill
 
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Standard

Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18



Hello again,

alles klar, hab sie deaktiviert. Kann die dauerhaft aus bleiben, oder sollte ich sie irgendwann wieder anschalten? Ich frage nur, weil er jedes mal wenn ich sie deaktiviere rummeckert, dass irgendwelche Änderungen dann nicht mehr rückgängig gemacht werden können usw.

Hab jetzt nochmal einen Systemscan von Avira machen lassen und es wurden noch zwei Trojaner gefunden. Einmal den TR/Vundo.Gen in C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP14\A0001748.dll und den gleichen in C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP14\A0001749.dll
Ich hab ja die Hoffnung, dass sich das Ganze mit dem Deaktivieren der Systemwiederherstellung erledigt haben könnte, da im Pfad ja irgendwas von "restore" steht. Ich hoffe ich liege da richtig.

Gute Nacht,
Diana

Alt 22.12.2008, 16:22   #13
john.doe
 
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Standard

Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18



Zitat:
Kann die dauerhaft aus bleiben, oder sollte ich sie irgendwann wieder anschalten?
Wenn du möchtest, kannst du sie wieder einschalten. Lies mal hier: Computerkurs - Die Systemwiederherstellung (der wichtige Punkt ist auf der 2. Seite mit der roten 1 gekennzeichnet.)
Zitat:
weil er jedes mal wenn ich sie deaktiviere rummeckert
Wenn Windows meckert, dann einfach gar nicht ignorieren.
Zitat:
Ich hab ja die Hoffnung, dass sich das Ganze mit dem Deaktivieren der Systemwiederherstellung erledigt haben könnte, da im Pfad ja irgendwas von "restore" steht. Ich hoffe ich liege da richtig.
Du hast das Problem erkannt. Wenn dein Rechner scheinbar sauber ist und in der Systemwiederherstellung Malware drin ist, dann wird diese Malware bei Benutzung der SWH auch wieder aktiviert.

Frohe Weihnachten, andreas

Alt 22.12.2008, 16:56   #14
lady chill
 
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Standard

Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18



Nee, dann lass ich die lieber aus.

Also vielen Dank nochmal, dass du meinen Kunibert vor dem sicheren Tod gerettet hast.

Frohe Weihnachten und einen guten Rutsch,
Diana

Antwort

Themen zu Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18
adobe, antivir, avira, dll, explorer, frage, generic, generic host, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, musik, opera, programme, rundll, sekunden, software, spyware, system 32, trojaner, usb, was tun, windows, windows xp, windows xp sp3, xp sp3, öffnet




Ähnliche Themen: Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18


  1. Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (28)
  2. TR/Vundo.Gen; TR/Vundo.fnr.6 entfernen ?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2009 (9)
  3. TR/Vundo.fnr.6; TR/Vundo.Gen; TR/Crypt/Morphine.Gen....
    Mülltonne - 27.10.2008 (0)
  4. Trojaner TR/Vundo.fnr.6
    Mülltonne - 29.09.2008 (0)
  5. Vundo Trojaner und Co
    Plagegeister aller Art und deren Bekämpfung - 19.09.2008 (3)
  6. Trojaner Vundo Gen !P
    Plagegeister aller Art und deren Bekämpfung - 15.07.2008 (2)
  7. Trojaner - TR/Vundo.HY
    Mülltonne - 28.06.2008 (0)
  8. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  9. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  10. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)
  11. TR/Vundo.gen TR/vundo.AC Bitte um Hilfe
    Log-Analyse und Auswertung - 22.03.2008 (10)
  12. TR/Vundo.Gen und TR/Vundo.dvc1 bekämpfen
    Log-Analyse und Auswertung - 09.01.2008 (18)
  13. Trojaner TR/Vundo.Gen
    Log-Analyse und Auswertung - 29.11.2007 (4)
  14. trojaner TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 30.10.2007 (0)
  15. Trojaner Vundo
    Plagegeister aller Art und deren Bekämpfung - 02.06.2007 (3)
  16. Wie kann ich TR/Vundo.AH und TR/Vundo.Gen entfernen?
    Log-Analyse und Auswertung - 24.03.2007 (6)
  17. Trojaner TR/Vundo.gen
    Alles rund um Windows - 01.02.2007 (3)

Zum Thema Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 - Hallo, ich habe schon seit einer Weile diese beiden Trojaner, die mir regelmäßig von Avira angezeigt werden. Anfänglich noch einmal in der Stunde aber mittlerweile öffnet sich aller 3 Sekunden - Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18...
Archiv
Du betrachtest: Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.