| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan.Vundo, rootkit.agentWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
29.12.2008, 10:50
| #1 |
 |  Trojan.Vundo, rootkit.agent Hai erst mal. Ich hab schon längere Zeit ein paar Viren auf meinem pc die ich einfach nicht wegbekomme, darunter ist Trojan.Vundo H, Rootkit.Agent, Trojan.Agent .. ich hab das mit Malewarebytes Anti - Maleware gescannt, und das is dabei rausgekommen. Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1376 Windows 5.1.2600 Service Pack 2 29.12.2008 10:00:18 Viren Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 128587 Laufzeit: 24 minute(s), 12 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 19 Infizierte Registrierungswerte: 7 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 1 Infizierte Dateien: 7 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\geBqQHxW.dll (Trojan.Vundo.H) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccasjca (Trojan.Vundo.H) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{a1f4a593-2698-4107-8d1d-43798ff2d852} (Trojan.Vundo.H) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{a1f4a593-2698-4107-8d1d-43798ff2d852} (Trojan.Vundo.H) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{a1f4a593-2698-4107-8d1d-43798ff2d852} (Trojan.Vundo.H) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\c igzxzfl (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\c igzxzfl (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\cigzxzfl (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\prunnet (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\prunnet (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\gebqqhxw -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\gebqqhxw -> No action taken. Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\gad com (Trojan.Agent) -> No action taken. Infizierte Dateien: C:\WINDOWS\system32\fccASJcA.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\geBqQHxW.dll (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\WxHQqBeg.ini (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\WxHQqBeg.ini2 (Trojan.Vundo.H) -> No action taken. C:\WINDOWS\system32\drivers\wvvibxsm.dat (Rootkit.Agent) -> No action taken. C:\WINDOWS\system32\prunnet.exe (Trojan.Agent) -> No action taken. C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\url redir.cfg (Adware.RightOnAds) -> No action taken. Ich hoffe sehr auf baldige hilfe, danke im voraus |
|
29.12.2008, 10:57
| #2 |
    | Trojan.Vundo, rootkit.agent Entferne via Software Malwarebytes' Anti-Malware 1.30
__________________und download die letzte version Benutze malwarebytes-anti-malware http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html Note: Wähle bei Reiter: “Scanner”> "Quickscan durchfuehren". “Update “> klicke “Suche nache Aktualisierungen“ “Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“ Scan laufen lassen und Infizierungen entfernen Und poste das Log Poste danach ein log von Hijack This http://www.trojaner-board.de/51130-anleitung-hijackthis.html Bitte editiere Deine Links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-aktive-links-und-persoenliche-informationen-hjt-log-files.html#post171958 |
|
29.12.2008, 11:50
| #3 |
| | Trojan.Vundo, rootkit.agent Habe nun alles punkt für punkt so durchgearbeitet, wie es beschrieben war.
__________________Hier ist nun mal die "Hijack" Logdatei. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:23:46, on 29.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\arservice.exe C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\ARPWRMSG.EXE C:\Programme\HP DigitalMedia Archive\DMAScheduler.exe C:\Programme\HP\HP Software Update\HPwuSchd2.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe C:\Programme\Winamp\winampa.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Windows Defender\MSASCui.exe C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_AT&c=64&bd=PAVILION&pf=desktop R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.deu.chello.at/ssi/welcome/welcome.php?url=search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.deu.chello.at/ssi/welcome/welcome.php?url=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_AT&c=64&bd=PAVILION&pf=desktop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_AT&c=64&bd=PAVILION&pf=desktop R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von chello broadband n.v. R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<loca;*.loc;;<local>;*.local O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect O4 - HKLM\..\Run: [DMAScheduler] "c:\Programme\HP DigitalMedia Archive\DMAScheduler.exe" O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [HPBootOp] "C:\Programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPwuSchd2.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ChelloDesktop] C:\Programme\chello\ChelloDesktop.exe O4 - HKLM\..\Run: [ChelloBackground] C:\Programme\chello\ChelloMessenger.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" O4 - HKLM\..\Run: [Secure] C:\WINDOWS\WindowsUpdates.exe O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKLM\..\RunOnce: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O14 - IERESET.INF: START_PAGE_URL=http://home.deu.chello.at/ssi/welcome/welcome.php?url=home O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: medljf.dll O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Autodata Limited License Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 9007 bytes --------------------------------------------- Und hier der mit Malewarebytes Anti - Malware 1.31 (der neuesten version die ich gefunden habe.) durchegführte Scan. Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1566 Windows 5.1.2600 Service Pack 2 29.12.2008 11:48:58 mbam-log-2008-12-29 (11-48-58).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 132562 Laufzeit: 26 minute(s), 17 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 2 Infizierte Registrierungsschlüssel: 15 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 1 Infizierte Dateien: 20 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\geBqQHxW.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\medljf.dll (Trojan.Vundo) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a1f4a593-2698-4107-8d1d-43798ff2d852} (Trojan.Vundo.H) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{a1f4a593-2698-4107-8d1d-43798ff2d852} (Trojan.Vundo.H) -> Delete on reboot. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a1f4a593-2698-4107-8d1d-43798ff2d852} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cigzxzfl (Rootkit.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cigzxzfl (Rootkit.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cigzxzfl (Rootkit.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prunnet (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Delete on reboot. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\gebqqhxw -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebqqhxw -> Delete on reboot. Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\gadcom (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\geBqQHxW.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\WxHQqBeg.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\WxHQqBeg.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\medljf.dll (Trojan.Vundo) -> Delete on reboot. C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\winvsnet.tmp (Rogue.Installer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\prun.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\ynhngmnw.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C56J4TA3\winsinstall[1].exe (Rogue.Installer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP61\A0025402.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP62\A0025430.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP62\A0025431.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP62\A0025432.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP63\A0025443.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP63\A0025445.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\opnmLeBr.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\qiygqhlb.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\shaexsub.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\wvvibxsm.dat (Rootkit.Agent) -> Delete on reboot. C:\WINDOWS\system32\prunnet.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\urlredir.cfg (Adware.RightOnAds) -> Quarantined and deleted successfully. |
|
29.12.2008, 12:09
| #4 |
| | Trojan.Vundo, rootkit.agent Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O4 - HKLM\..\Run: [Secure] C:\WINDOWS\WindowsUpdates.exe O20 - AppInit_DLLs: medljf.dll klicke: Fix checked Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme " Klicke "Programm ausführen " unter FileASSASSIN Suche C:\WINDOWS\System32\medljf.dll und klicke OK Benutze CCleaner http://www.trojaner-board.de/51464-a...-ccleaner.html ComboFix(by sUBs) Download ComboFix und speichert es auf den Desktop! Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein Starte combofix.exe Note: Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt Lass es zu das ComboFix ge-updatet wird Klicke OK im "NirCmd" Fenster klicke ja um Combofix zu starten Folge den Instruktionen in das Fenster Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" Befolge diese Anleitung und installiere auch den Wiederherstellungskonsole Und ein Log vom Hijack This |
|
29.12.2008, 12:50
| #5 |
| | Trojan.Vundo, rootkit.agent Sooo, hier ist das log von ComboFix. ComboFix 08-12-28.03 - HP_Administrator 2008-12-29 12:41:20.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1022.650 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\HP_Administrator\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokume~1\HP_ADM~1\LOKALE~1\Temp\tmp2.tmp c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\dokumente und einstellungen\HP_Administrator\Startmenü\Programme\Videos.url c:\programme\Mozilla Firefox\components\nsBrowserOpt.dll c:\temp\1cb c:\temp\1cb\syscheck.log c:\temp\sanR24 c:\temp\sanR24\lDii.log c:\windows\Fonts\- c:\windows\system32\aburgsqj.ini c:\windows\system32\aqsmokgl.ini c:\windows\system32\bwtvyodd.ini c:\windows\system32\cnlgpccm.ini c:\windows\system32\dcgfybnt.ini c:\windows\system32\djauqkwu.ini c:\windows\system32\dmvtlmpr.ini c:\windows\system32\drewrmja.ini c:\windows\system32\dsvtspyo.ini c:\windows\system32\etkcaryn.ini c:\windows\system32\eyjmohwa.ini c:\windows\system32\gfdytxnu.ini c:\windows\system32\gjjlm.ini c:\windows\system32\gjjlm.ini2 c:\windows\system32\gjlnfnpe.ini c:\windows\system32\gqiyptkh.ini c:\windows\system32\huurrwoo.ini c:\windows\system32\iujdqmtb.ini c:\windows\system32\jagadmnu.ini c:\windows\system32\jjybbjnv.ini c:\windows\system32\jkddxadt.ini c:\windows\system32\jlcieaps.ini c:\windows\system32\kaeshlyc.ini c:\windows\system32\kjqwmvia.ini c:\windows\system32\kwrbygoc.ini c:\windows\system32\loxhehww.ini c:\windows\system32\mrfeceia.ini c:\windows\system32\noruqdjf.ini c:\windows\system32\oeiltgky.ini c:\windows\system32\opmlrpbj.ini c:\windows\system32\plxlxddg.ini c:\windows\system32\poiykjcq.ini c:\windows\system32\pqgmdvdg.ini c:\windows\system32\qkhtaojb.ini c:\windows\system32\qoflhmog.ini c:\windows\system32\radrdoja.ini c:\windows\system32\rledhkkc.ini c:\windows\system32\rmgpphpr.ini c:\windows\system32\rsyfbwvn.ini c:\windows\system32\ruaubdfv.ini c:\windows\system32\rypqfbuc.ini c:\windows\system32\talmgjso.ini c:\windows\system32\tqsnkfps.ini c:\windows\system32\tttss.ini c:\windows\system32\tttss.ini2 c:\windows\system32\uxjnikhy.ini c:\windows\system32\vwlvduhe.ini c:\windows\system32\whvpvtmn.ini c:\windows\system32\xjggdcyr.ini c:\windows\system32\yddcafeg.ini c:\windows\system32\yecpwfcw.ini c:\windows\system32\yjmxaqch.ini c:\windows\system32\ylxfiiew.ini ----- BITS: Eventuell infizierte Webseiten ----- hxxp://childhe.com . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_IPRIP -------\Service_Iprip ((((((((((((((((((((((( Dateien erstellt von 2008-11-28 bis 2008-12-29 )))))))))))))))))))))))))))))) . 2008-12-29 12:29 . 2008-12-29 12:29 <DIR> d-------- c:\programme\CCleaner 2008-12-29 11:23 . 2008-12-29 11:23 <DIR> d-------- c:\programme\Trend Micro 2008-12-29 11:17 . 2008-12-29 11:17 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-12-29 11:17 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-29 11:17 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-29 10:41 . 2008-12-29 10:43 <DIR> d-------- C:\db2f45b8656d45812bbdf47c 2008-12-28 23:34 . 2008-12-28 23:34 <DIR> d-------- c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\zweitgeist 2008-12-28 23:25 . 2008-12-28 23:25 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SlySoft 2008-12-26 18:28 . 2008-12-27 13:43 <DIR> d-------- c:\programme\Secret Maryo Chronicles 2008-12-26 18:25 . 2008-12-26 18:25 <DIR> d--hs---- c:\windows\ftpcache 2008-12-18 13:23 . 2008-12-18 13:23 103,360 --a------ c:\windows\system32\drivers\AnyDVD.sys 2008-12-13 22:42 . 2008-12-29 10:00 386 --a------ c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\wklnhst.dat 2008-12-11 16:09 . 2008-12-11 16:09 <DIR> d-------- C:\580de78eb70593e6b2 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-29 11:28 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared 2008-12-29 08:29 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2008-12-24 10:55 --------- d-----w c:\programme\World of Warcraft 2008-12-23 16:30 --------- d-----w c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\LimeWire 2008-11-25 19:30 --------- d-----w c:\programme\TryMedia 2008-11-17 19:49 --------- d-----w c:\programme\DivX 2008-11-16 14:59 --------- d-----w c:\programme\Gemeinsame Dateien\AVSMedia 2008-11-16 14:59 --------- d-----w c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\AVS4YOU 2008-11-16 14:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU 2008-11-15 15:08 --------- d-----w c:\programme\MSXML 4.0 2008-11-15 09:44 --------- d-----w c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Apple Computer 2008-11-09 15:07 --------- d-----w c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Malwarebytes 2008-11-09 15:07 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-11-08 14:47 --------- d-----w c:\programme\iTunes 2008-11-08 14:47 --------- d-----w c:\programme\iPod 2008-11-08 14:47 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-11-08 14:46 --------- d-----w c:\programme\QuickTime 2008-11-08 14:46 --------- d-----w c:\programme\Gemeinsame Dateien\Apple 2008-11-08 14:46 --------- d-----w c:\programme\Bonjour 2008-11-08 14:46 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-11-08 14:45 --------- d-----w c:\programme\Apple Software Update 2008-11-02 14:00 --------- d-----w c:\programme\Messenger Plus! Live 2008-10-12 15:17 796,672 ----a-w c:\windows\GPInstall.exe 2007-12-24 17:13 22,328 ----a-w c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PnkBstrK.sys 2007-12-10 21:26 17,408 ----a-w c:\programme\FLV PlayerRCATSetup.exe 2007-12-10 21:25 411,248 ----a-w c:\programme\FLV PlayerRCSetup.exe 2004-10-01 13:00 40,960 ----a-w c:\programme\Uninstall_CDS.exe 2008-11-27 14:19 638,976 ----a-w c:\programme\mozilla firefox\components\nsadssite.dll 2008-01-18 10:06 278,528 ----a-w c:\programme\mozilla firefox\components\nsBrowserCmp.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2BF88EF3-D450-4D08-BBEC-E5D1F8CC7219}] 2008-11-12 19:06 116480 --a------ c:\windows\system32\catsrvp.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-10 15360] "AnyDVD"="c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-12-18 2304960] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-21 7622656] "DMAScheduler"="c:\programme\HP DigitalMedia Archive\DMAScheduler.exe" [2006-04-13 90112] "Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-22 237568] "HP Software Update"="c:\programme\HP\HP Software Update\HPwuSchd2.exe" [2005-02-17 49152] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-02 180269] "ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184] "CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 57344] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "MMTray"="c:\programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" [2006-01-17 135168] "mmtask"="c:\programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2006-01-17 53248] "WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-07-09 36352] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-10-01 289576] "ftutil2"="ftutil2.dll" [2004-06-07 c:\windows\system32\ftutil2.dll] "RTHDCPL"="RTHDCPL.EXE" [2006-07-22 c:\windows\RTHDCPL.EXE] "AlwaysReady Power Message APP"="ARPWRMSG.EXE" [2005-08-02 c:\windows\arpwrmsg.exe] "nwiz"="nwiz.exe" [2006-06-21 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\World of Warcraft\\WoW-1.12.0-deDE-downloader.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\World of Warcraft\\WoW-1.12.x-to-2.0.1-deDE-patch-downloader.exe"= "c:\\Programme\\LimeWire\\LimeWire.exe"= "c:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 "3587:TCP"= 3587:TCP:Windows-Peer-zu-Peer-Gruppierung "3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R0 cigzxzfl;cigzxzfl;c:\windows\system32\drivers\wvvibxsm.dat [] R2 NwSapAgent;SAP-Agent;c:\windows\system32\svchost.exe -k netsvcs [2004-08-10 14336] R3 3xHybrid;3xHybrid service;c:\windows\system32\DRIVERS\3xHybrid.sys [2006-01-02 2829696] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{84e0a36c-6a14-11dd-9396-0018f3a6350d}] \Shell\AutoRun\command - F:\LaunchU3.exe -a . Inhalt des "geplante Tasks" Ordners 2008-11-08 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{2E225918-95D0-4147-B48C-6E0DFAD1FD30} - c:\windows\system32\ssttt.dll BHO-{DF34DA9C-4C44-4ECA-B455-003E347D1DCA} - c:\windows\system32\mljjg.dll HKCU-Run-Orb - c:\programme\Winamp Remote\bin\OrbTray.exe HKLM-Run-HPBootOp - c:\programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe HKLM-Run-ChelloDesktop - c:\programme\chello\ChelloDesktop.exe HKLM-Run-ChelloBackground - c:\programme\chello\ChelloMessenger.exe HKLM-Run-ISTray - c:\programme\Spyware Doctor\pctsTray.exe HKLM-Run-PCDrProfiler - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = www.google.com uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_AT&c=64&bd=PAVILION&pf=desktop uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_AT&c=64&bd=PAVILION&pf=desktop uInternet Connection Wizard,ShellNext = iexplore uInternet Settings,ProxyOverride = ;<loca;*.loc;;<local>;*.local FF - ProfilePath - c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xagpes6a.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - Yoog Search FF - prefs.js: keyword.URL - hxxp://www1.yoog.com/search.php?q= FF - component: c:\programme\Mozilla Firefox\components\nsadssite.dll FF - component: c:\programme\Mozilla Firefox\components\nsBrowserCmp.dll FF - component: c:\programme\Mozilla Firefox\components\nsBrowserOpt.dll FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll ATTENTION: FIREFOX POLICES IS IN FORCE FF - user.js: browser.search.selectedEngine - Yoog Search FF - user.js: keyword.URL - hxxp://www1.yoog.com/search.php?q= FF - user.js: keyword.enabled - true . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-29 12:45:18 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cigzxzfl] "ImagePath"="system32\drivers\wvvibxsm.dat" . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\windows\arservice.exe c:\programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe c:\programme\Bonjour\mDNSResponder.exe c:\windows\ehome\ehrecvr.exe c:\windows\ehome\ehSched.exe c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe c:\windows\system32\rundll32.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\tcpsvcs.exe c:\windows\ehome\mcrdsvc.exe c:\windows\system32\dllhost.exe c:\programme\iPod\bin\iPodService.exe c:\windows\ehome\ehmsas.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-12-29 12:46:59 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-12-29 11:46:56 Vor Suchlauf: 23 Verzeichnis(se), 271.988.387.840 Bytes frei Nach Suchlauf: 23 Verzeichnis(se), 273,452,167,168 Bytes frei 269 --- E O F --- 2008-12-26 09:11:50 Und hier das von Hijack  Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:49:46, on 29.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\arservice.exe C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\ARPWRMSG.EXE C:\Programme\HP DigitalMedia Archive\DMAScheduler.exe C:\Programme\HP\HP Software Update\HPwuSchd2.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe C:\Programme\Winamp\winampa.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_AT&c=64&bd=PAVILION&pf=desktop R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_AT&c=64&bd=PAVILION&pf=desktop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<loca;*.loc;;<local>;*.local O2 - BHO: (no name) - {2BF88EF3-D450-4D08-BBEC-E5D1F8CC7219} - C:\WINDOWS\system32\catsrvp.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect O4 - HKLM\..\Run: [DMAScheduler] "c:\Programme\HP DigitalMedia Archive\DMAScheduler.exe" O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPwuSchd2.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O14 - IERESET.INF: START_PAGE_URL=http://home.deu.chello.at/ssi/welcome/welcome.php?url=home O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Autodata Limited License Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 7743 bytes |
|
29.12.2008, 13:45
| #7 |
| | Trojan.Vundo, rootkit.agent Ich hab bis jetzt immer nur mit Malewarebytes Anti - Malware gescannt .. warum? |
|
29.12.2008, 16:28
| #8 |
| | Trojan.Vundo, rootkit.agent Start > Ausführen> Kopiere rein ComboFix /U OK Weil dein Rechner schon wieder Infiziert(Trojan.Win32.Pakes.cdw) ist,du brauchst ein Realtimescanner Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: (no name) - {2BF88EF3-D450-4D08-BBEC-E5D1F8CC7219} - C:\WINDOWS\system32\catsrvp.dll klicke: Fix checked Installiere Antivir Updaten und scannen |
|
29.12.2008, 17:19
| #9 |
| | Trojan.Vundo, rootkit.agent So nebenbei möchte ich mich mal bei dir Bedanken für deine großartige Hilfe  :aplaus:Also gut, das ComboFix hab ich kopiert und ausgeführt , brauchst du das log auch wieder? Als nächstes kann ich die "O2 - BHO: (no name) - {2BF88EF3-D450-4D08-BBEC-E5D1F8CC7219} - C:\WINDOWS\system32\catsrvp.dll" Datei nicht löschen, da ich ne fehlermeldung bekomme weil irgendein internet explorer noch läuft oder sowas in der richtung, obwohl ich alle fenster geschlossen hatte, hmm .. Antivir habe ich schon runtergeladen, upgedatet, und hier is das log. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 29. Dezember 2008 16:50 Es wird nach 1132370 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: HP_Administrator Computername: NAME-F307E50405 Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24.12.2008 15:48:44 ANTIVIR2.VDF : 7.1.1.34 2048 Bytes 24.12.2008 15:48:45 ANTIVIR3.VDF : 7.1.1.47 187904 Bytes 29.12.2008 15:48:46 Engineversion : 8.2.0.45 AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:56 AESCRIPT.DLL : 8.1.1.19 336252 Bytes 29.12.2008 15:48:50 AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:41 AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38 AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 09:41:39 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 29.12.2008 15:48:50 AEHEUR.DLL : 8.1.0.75 1524087 Bytes 29.12.2008 15:48:49 AEHELP.DLL : 8.1.2.0 119159 Bytes 29.12.2008 15:48:47 AEGEN.DLL : 8.1.1.8 323956 Bytes 29.12.2008 15:48:47 AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56 AECORE.DLL : 8.1.5.2 172405 Bytes 29.12.2008 15:48:46 AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Festplatten Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\alldiscs.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Montag, 29. Dezember 2008 16:50 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AnyDVDtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mmtask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mm_tray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CloneCDTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DMAScheduler.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'arpwrmsg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ADCDLicSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'arservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '51' Prozesse mit '51' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '66' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Stefan> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Programme\Trend Micro\HijackThis\backups\backup-20081229-164105-659.dll [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Podnuha.bhk [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49bbf463.qua' verschoben! C:\Programme\Trend Micro\HijackThis\backups\backup-20081229-164135-992.dll [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Podnuha.bhk [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49bbf468.qua' verschoben! C:\Programme\Trend Micro\HijackThis\backups\backup-20081229-164205-921.dll [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Podnuha.bhk [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49bbf46e.qua' verschoben! C:\temp\txNog4220.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.rpb [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49a6f4cf.qua' verschoben! C:\WINDOWS\system32\catsrvp.dll [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Podnuha.bhk [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003 [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b514a7d.qua' verschoben! C:\WINDOWS\system32\mhdlruwigvkped.exe [FUND] Enthält Erkennungsmuster des Droppers DR/Zlob.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49bcf671.qua' verschoben! Beginne mit der Suche in 'D:\' <HP_RECOVERY> Ende des Suchlaufs: Montag, 29. Dezember 2008 17:18 Benötigte Zeit: 27:23 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 7069 Verzeichnisse wurden überprüft 325358 Dateien wurden geprüft 6 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 6 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 325350 Dateien ohne Befall 15396 Archive wurden durchsucht 7 Warnungen 6 Hinweise |
|
29.12.2008, 17:24
| #10 |
| | Trojan.Vundo, rootkit.agent Versuch es im Abgesicherten Modus Und wenn noch moeglich,entferne das? "Seriennummer" von Antivir |
|
30.12.2008, 11:36
| #11 |
| | Trojan.Vundo, rootkit.agent Es funktioniert trotzdem nicht  Und welche Seriennummer sollte ich löschen? Mir is auch noch aufgefallen, dass wenn ich Windows starte manchmal meine Statusleiste überladen is .. ich kann nicht draufklicken oda so. Hat das auch was mit den Trojanern etc. zu tun? |
|
30.12.2008, 12:54
| #12 |
| | Trojan.Vundo, rootkit.agent Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme " Klicke "Programm ausführen " unter FileASSASSIN Suche C:\WINDOWS\system32\catsrvp.dll und klicke OK Mach mal ein Onlinescan mit F-Secure Ich mache gleich Ferien,vielleicht gibt es hier jemand die weiter helfen kann |
|
30.12.2008, 13:55
| #13 |
| | Trojan.Vundo, rootkit.agent Werde ich machen. Ich danke dir nochmals für deine Hilfe Und wünsche schöne Ferien |
|
| Themen zu Trojan.Vundo, rootkit.agent |
| administrator, ads, anti, anti-malware, browser, data, dateien, einfach, einstellungen, explorer, helper, malware.trace, microsoft, net.exe, notification, prunnet.exe, registrierungsschlüssel, rootkit.agent, service, services, software, system, system32, trojan.agent, trojan.vundo, version, viren, winlogon |
Linear-Darstellung
