| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Vundo.Gen Trojaner wie löschen??Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
12.05.2009, 14:00
| #16 |
 |  Vundo.Gen Trojaner wie löschen?? Hab ComboFix jetzt durchlaufen lassen, dauerte etwa 10minuten. Diese "wiederherstellungskonsole" brauche ich die auch? Dazu müsste ich nämlich ein Online Update machen, was ich aber jetzt erstmal nicht gemacht habe. Ist jetzt alles überstanden oder wie gehts nun weiter? @ Chris, danke für deine hilfe  Code:
ATTFilter ComboFix 09-05-11.08 - Besitzer 12.05.2009 13:34.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2046.1642 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *enabled*
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
ADS - WINDOWS: deleted 48 bytes in 1 streams.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq_nav.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq_navps.dat
c:\windows\system32\alirojak.ini
c:\windows\system32\egihokem.ini
c:\windows\system32\esodohuy.ini
c:\windows\system32\ifitejul.ini
c:\windows\system32\iwozituj.ini
c:\windows\system32\ujakazer.ini
----- BITS: Eventuell infizierte Webseiten -----
hxxp://83.149.105.228
.
((((((((((((((((((((((( Dateien erstellt von 2009-04-12 bis 2009-05-12 ))))))))))))))))))))))))))))))
.
2009-05-11 10:45 . 2009-05-11 10:45 -------- d-----w c:\programme\CCleaner
2009-04-16 07:51 . 2009-04-16 07:51 -------- d-----w c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2009-04-15 09:29 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 09:29 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 09:29 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 09:29 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 09:29 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 09:29 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 09:29 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 09:29 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 09:29 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 09:29 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-12 12:36 . 2008-01-17 15:27 137185312 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-12 11:15 . 2008-01-17 15:27 1613120 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-11 13:03 . 2008-10-12 21:14 -------- d-----w c:\programme\Sony
2009-05-11 13:02 . 2009-01-30 15:21 -------- d-----w c:\programme\Mumble
2009-05-11 12:29 . 2008-01-17 14:33 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-05-11 11:22 . 2009-05-11 11:22 -------- d-----w c:\programme\Trend Micro
2009-04-01 18:11 . 2009-04-01 18:11 -------- d-----r c:\programme\Skype
2009-03-30 19:49 . 2008-01-16 18:49 -------- d-----w c:\programme\ICQLite
2009-03-28 12:08 . 2008-04-14 04:13 6762649 ----a-w c:\windows\Internet Logs\tvDebug.zip
2009-03-06 14:19 . 2006-02-28 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2006-02-28 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2006-02-28 12:00 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-17 17:11 . 2009-02-17 17:11 24232 ----a-w c:\windows\system32\drivers\ElbyCDIO.sys
2009-02-17 13:33 . 2009-02-17 13:33 89256 ----a-w c:\windows\system32\ElbyCDIO.dll
2008-01-17 15:42 . 2008-01-17 14:48 48 --sh--w c:\windows\S22198A47.tmp
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-25 1953792]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-11-04 49152]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2006-07-13 122880]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"CreativeTaskScheduler"="c:\programme\Creative\Shared Files\CTSched.exe" [2006-01-09 53340]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2007-05-11 2512392]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-05 1626112]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CtHelper.exe [2007-11-12 19456]
"CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\Ctxfihlp.exe [2007-11-12 19968]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 EslWireService;EslWireService;c:\programme\EslWire\service\EslWireSrv.exe [08.05.2008 15:29 868864]
R3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\drivers\ESLvnic.sys [08.05.2008 15:29 20216]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.01.2008 18:26 1527900]
S3 Razerlow;Razer Copperhead Driver;c:\windows\system32\drivers\Razerlow.sys [16.01.2008 20:08 11372]
S3 SysInteg;SysInteg;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg27891;SysInteg27891;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg32290;SysInteg32290;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
.
Inhalt des "geplante Tasks" Ordners
2009-04-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2009-05-12 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-02-08 02:46]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yodl.de/
uInternet Settings,ProxyOverride = <local>
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\8ymow3hh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-12 13:36
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="120EB5805224896AE10E6F81328651F242B7F3D83CF32359E8FBA8364C1EB43E26D75BD42BB2C2002206B33F4060A2867741642A0A5E9EA2941BB4D9EA052C7F6E58DC93C4F8E51B09E42A2C6A6AE159CA5AF918D558CE249D0E80FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79339DB7CE019D40AA5CA6A0AC4980AC7933C038D530D6EB3452AA0181DD1C61E78A8DE2BD1049C0233C8CF7D030E27C6C293359C5A8024E0D908252D9E28A1D1E488221C3EC4D982186EC020DE4B4389D79630D7EB980F8D5B134DF1F419AF18956339F3312F03D46339A3E62B86526CD8C0B1BDBB34B3584C88873144977FDF66D97130A25DE4669DFDE6FA8C542FB7D03E3F72DC47077629F494822E0920F981A2DA76ADE8902C3FD884D5A3DDE230ED42E83E5B2C4E3194E479157001EAA033B73791A8EA4EE74D1680397E01137C84A2B1820555E573C44D5F364B594863083701C03962B447D73532F2188728C57012281949818DF3D454C871D22B08E7D7D2C9433ED5867C550A4E4DF9F61274BEA5D7EA47D113EF66787D9FB7BF262AB03335CDD9CAEF79729B8AB5D257FC1954F2CC4D5972EEAA494656B9C8A9ED5E0C39662D54372C3A093F1FD49ABB3C81046607BCC101410E50D4B31BFAB3D70A6C36A091814AED0F477B4CA76DCA7DDF4BDD1BE57A1300C41E31F15CB521B6E69DBC725BFD3AD5809906CF55B714A5763785A9E661E30719DFCCCF4C881C6BC7C36CA8191DC8245B772865412B94DBD5F0C589F0CE70706C796461F63D3958113D394DCF01F8238417F73B4DB1926CECF61AFB8007AECC5EFBDFC5B6C75A01448084AE6691B458745F0A9521A0690FB00B6455720DE5D5DAAD4686059A9C1FD977B93C8A8E8A9B9CC542262D30E096B209D055AEAB616B0EF14855DC2439901E4A81D9980314F0CBF89DB8BB34DD276C2FBDD9584B61A571D05D3F065AD8D0FF3DE1969E5329CEF6E45D6E80AF8F2AA5F8C4152B427B2997187563322E4C5516DC339B9F2BFBA880B921A08C758B448D1DB264BE6E26876134D152A7EFA2DA1E0CEB980E6BF95AE2BCB2EED84C6A6C65ACB87322D5C0D21885D1BD4A215F4903E4955A7A3AADFEF4922A1917BB119CF9A92E42939953200BE927823DCEA10E15B56CB0DAD900D8B441A86DB8C1E233F9BB9BE4963282E2D079CC0F91CCB380BF16863822F13D7765E0E712E38A31F27C69F1E1EA7C09D7715FC0C34F698E7BA9EC6E44F7669BB58BD297C5BA76C2CCC6D758B28261EDF62808B751DA4C5E0CD630D1B2CF4DBFB10EC6C442824392AA941C197DBA39617A247711D7504DD2759252CD847424B9B2CDAAD6CD19DDB41EC5B5C54200610AAA34930A6F3157C8124AE6771C316A76571D8151A87273B5B"
.
Zeit der Fertigstellung: 2009-05-12 13:37
ComboFix-quarantined-files.txt 2009-05-12 12:36
Vor Suchlauf: 14 Verzeichnis(se), 32.334.184.448 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 32.376.897.536 Bytes frei
141 --- E O F --- 2009-04-15 21:55
|
|
12.05.2009, 15:13
| #17 |
  | Vundo.Gen Trojaner wie löschen?? Hi,
__________________das sieht schon recht gut aus... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\CF5534.exe
c:\windows\system32\drivers\SysInteg010.sys
Was treibt der Rechner? chris
__________________ |
|
12.05.2009, 15:37
| #18 |
| | Vundo.Gen Trojaner wie löschen?? Die Datei CF5534.exe kann ich nicht finden. Ich überprüfe nochmal alles und schau noch ein paar mal. Die eine Datei scheint aber ein volltreffer gewesen zu sein
__________________ Dem Rechner gehts gut, ist verdammt schnell hab noch viele unnötige Sachen gelöscht und werde morgen noch Defragmentieren. Kann man sich für die Zukunft besser schützen? Und welche von den verwendeten Programmen können immer benutzt werden? ComboFix ist ja eher was für Experten was ich so gelesen habe... Mfg Code:
ATTFilter Datei SysInteg010.sys empfangen 2009.05.12 16:29:10 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/40 (5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 54 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.12 -
AhnLab-V3 5.0.0.2 2009.05.12 -
AntiVir 7.9.0.166 2009.05.12 -
Antiy-AVL 2.0.3.1 2009.05.12 -
Authentium 5.1.2.4 2009.05.12 W32/SYStroj.N.gen!Eldorado
Avast 4.8.1335.0 2009.05.11 -
AVG 8.5.0.327 2009.05.12 -
BitDefender 7.2 2009.05.12 -
CAT-QuickHeal 10.00 2009.05.12 -
ClamAV 0.94.1 2009.05.12 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.12 -
eSafe 7.0.17.0 2009.05.12 -
eTrust-Vet 31.6.6501 2009.05.12 -
F-Prot 4.4.4.56 2009.05.12 W32/SYStroj.N.gen!Eldorado
F-Secure 8.0.14470.0 2009.05.12 -
Fortinet 3.117.0.0 2009.05.12 -
GData 19 2009.05.12 -
Ikarus T3.1.1.49.0 2009.05.12 -
K7AntiVirus 7.10.732 2009.05.11 -
Kaspersky 7.0.0.125 2009.05.12 -
McAfee 5612 2009.05.11 -
McAfee+Artemis 5612 2009.05.11 -
McAfee-GW-Edition 6.7.6 2009.05.12 -
Microsoft 1.4602 2009.05.12 -
NOD32 4068 2009.05.12 -
Norman 6.01.05 2009.05.12 -
nProtect 2009.1.8.0 2009.05.12 -
Panda 10.0.0.14 2009.05.11 -
PCTools 4.4.2.0 2009.05.07 -
Prevx 3.0 2009.05.12 -
Rising 21.29.14.00 2009.05.12 -
Sophos 4.41.0 2009.05.12 -
Sunbelt 3.2.1858.2 2009.05.12 -
Symantec 1.4.4.12 2009.05.12 -
TheHacker 6.3.4.1.324 2009.05.09 -
TrendMicro 8.950.0.1092 2009.05.12 -
VBA32 3.12.10.4 2009.05.12 -
ViRobot 2009.5.12.1731 2009.05.12 -
VirusBuster 4.6.5.0 2009.05.11 -
weitere Informationen
File size: 9984 bytes
MD5...: 81e43ef006624442b053ba007e120e22
SHA1..: 7f4cfdc2c9da6602873bb5c4d329341586863588
SHA256: 22d5f78580a02b40d748e21a80d91023bd3395f47a36b7642759d8da09ca867d
SHA512: f3f5546665611fc4d75f4247814abfe9cf8c7d2b26ca6823dfa9460e08079a48
bfd21203e901512926c07ad07dd5654cf78ec93912e4fcd8cc7386a0473869db
ssdeep: 192:G578DwBKZBS/iDbXwQvSt+f7VdbQarUsmT4y4SF:I78DwBK/DbXwubWsmT4U
F
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1640
timedatestamp.....: 0x47e67302 (Sun Mar 23 15:10:58 2008)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x1480 0x1480 6.64 673aa3e01b345607835644a0a1d6ecd5
.rdata 0x1780 0x143 0x180 3.92 f7561bac29f35a26b7d4cd532752d8fd
.data 0x1900 0x945 0x980 0.86 1c340ea46905ba2c17fd561da3aa749a
INIT 0x2280 0x214 0x280 4.49 c227a0b7c55453264086f057fc898e3a
.reloc 0x2500 0x190 0x200 4.74 3cc3513aa4f15b7937dcf7122046006f
( 1 imports )
> ntoskrnl.exe: ExAllocatePoolWithTag, KeServiceDescriptorTable, MmIsAddressValid, KeAddSystemServiceTable, RtlInitUnicodeString, ZwQuerySystemInformation, ExFreePoolWithTag, ExSystemTimeToLocalTime, KeQuerySystemTime, IoDeleteDevice, IoDeleteSymbolicLink, IofCompleteRequest, RtlUpperChar, IoCreateSymbolicLink, IoCreateDevice, _except_handler3, RtlTimeToTimeFields, _vsnprintf
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
|
|
12.05.2009, 15:51
| #19 |
| | Vundo.Gen Trojaner wie löschen?? Hi, da bin ich mir leider nicht sicher, ob es nicht ein false/positiv ist... Allerdings ist es seltsam, das der Treiber gleich 3 mal läuft: S3 SysInteg;SysInteg;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984] S3 SysInteg27891;SysInteg27891;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984] S3 SysInteg32290;SysInteg32290;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984] Versuchen wir ihn mal zu lokalisieren: Start->Einstellungen->Systemsteuerung->Dienste und dort mal nach dem Ding suchen, sonst machen wir das mit Flekmann in der Reg... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
12.05.2009, 16:02
| #20 |
| | Vundo.Gen Trojaner wie löschen?? ich weiß zwar nicht genau was ich da schauen soll aber ich hab dir einfach mal zwei Screenshots gemacht   |
|
12.05.2009, 16:13
| #21 |
| | Vundo.Gen Trojaner wie löschen?? Hi, suchen wir mal: ......RegisterySearch: Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) SysInteg010.sys in edit und klicke "Ok". Notepad wird sich oeffnen - poste den text Start -> ausführen -> cmd (reinschreiben) -> OK Es öffnet sich ein DOS-Fenster -> sc queryex > C:\services.txt (reinschreiben) Inhalt von C:\services.txt hier posten. chris (bin dann wech...)
__________________ --> Vundo.Gen Trojaner wie löschen?? |
|
12.05.2009, 16:26
| #22 |
| | Vundo.Gen Trojaner wie löschen?? danke soweit, bin morgen wieder online. hier das ergebnis Code:
ATTFilter REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "SysInteg010.sys" 12.05.2009 16:21:08
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_USERS\S-1-5-21-1715567821-1757981266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"f"="C:\\WINDOWS\\system32\\drivers\\SysInteg010.sys"
[HKEY_USERS\S-1-5-21-1715567821-1757981266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]
"a"="C:\\WINDOWS\\system32\\drivers\\SysInteg010.sys"
Code:
ATTFilter SERVICE_NAME: ALG
DISPLAY_NAME: Gatewaydienst auf Anwendungsebene
TYPE : 10 WIN32_OWN_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1804
FLAGS :
SERVICE_NAME: AntiVirScheduler
DISPLAY_NAME: Avira AntiVir Personal - Free Antivirus Planer
TYPE : 110 WIN32_OWN_PROCESS (interactive)
STATE : 4 RUNNING
(NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1840
FLAGS :
SERVICE_NAME: AntiVirService
DISPLAY_NAME: Avira AntiVir Personal - Free Antivirus Guard
TYPE : 110 WIN32_OWN_PROCESS (interactive)
STATE : 4 RUNNING
(NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1932
FLAGS :
SERVICE_NAME: AudioSrv
DISPLAY_NAME: Windows Audio
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: Browser
DISPLAY_NAME: Computerbrowser
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: CryptSvc
DISPLAY_NAME: Kryptografiedienste
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: CTAudSvcService
DISPLAY_NAME: Creative Audio Service
TYPE : 10 WIN32_OWN_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1828
FLAGS :
SERVICE_NAME: DcomLaunch
DISPLAY_NAME: DCOM-Server-Prozessstart
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1056
FLAGS :
SERVICE_NAME: Dhcp
DISPLAY_NAME: DHCP-Client
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: Dnscache
DISPLAY_NAME: DNS-Client
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1268
FLAGS :
SERVICE_NAME: Eventlog
DISPLAY_NAME: Ereignisprotokoll
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 884
FLAGS : RUNS_IN_SYSTEM_PROCESS
SERVICE_NAME: EventSystem
DISPLAY_NAME: COM+-Ereignissystem
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: FastUserSwitchingCompatibility
DISPLAY_NAME: Kompatibilität für schnelle Benutzerumschaltung
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: helpsvc
DISPLAY_NAME: Hilfe und Support
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: HidServ
DISPLAY_NAME: HID Input Service
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: HTTPFilter
DISPLAY_NAME: HTTP-SSL
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 3872
FLAGS :
SERVICE_NAME: lanmanserver
DISPLAY_NAME: Server
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: lanmanworkstation
DISPLAY_NAME: Arbeitsstationsdienst
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: LmHosts
DISPLAY_NAME: TCP/IP-NetBIOS-Hilfsprogramm
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1296
FLAGS :
SERVICE_NAME: Netman
DISPLAY_NAME: Netzwerkverbindungen
TYPE : 120 WIN32_SHARE_PROCESS (interactive)
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: Nla
DISPLAY_NAME: NLA (Network Location Awareness)
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: NVSvc
DISPLAY_NAME: NVIDIA-OMEGA Display Driver Service
TYPE : 10 WIN32_OWN_PROCESS
STATE : 4 RUNNING
(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 148
FLAGS :
SERVICE_NAME: O&O Defrag
DISPLAY_NAME: O&O Defrag
TYPE : 110 WIN32_OWN_PROCESS (interactive)
STATE : 4 RUNNING
(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 164
FLAGS :
SERVICE_NAME: PlugPlay
DISPLAY_NAME: Plug & Play
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 884
FLAGS : RUNS_IN_SYSTEM_PROCESS
SERVICE_NAME: PnkBstrA
DISPLAY_NAME: PnkBstrA
TYPE : 10 WIN32_OWN_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 232
FLAGS :
SERVICE_NAME: PolicyAgent
DISPLAY_NAME: IPSEC-Dienste
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 896
FLAGS : RUNS_IN_SYSTEM_PROCESS
SERVICE_NAME: ProtectedStorage
DISPLAY_NAME: Geschützter Speicher
TYPE : 120 WIN32_SHARE_PROCESS (interactive)
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 896
FLAGS : RUNS_IN_SYSTEM_PROCESS
SERVICE_NAME: RasMan
DISPLAY_NAME: RAS-Verbindungsverwaltung
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: RpcSs
DISPLAY_NAME: Remoteprozeduraufruf (RPC)
TYPE : 10 WIN32_OWN_PROCESS
STATE : 4 RUNNING
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1108
FLAGS :
SERVICE_NAME: SamSs
DISPLAY_NAME: Sicherheitskontenverwaltung
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 896
FLAGS : RUNS_IN_SYSTEM_PROCESS
SERVICE_NAME: Schedule
DISPLAY_NAME: Taskplaner
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: seclogon
DISPLAY_NAME: Sekundäre Anmeldung
TYPE : 120 WIN32_SHARE_PROCESS (interactive)
STATE : 4 RUNNING
(STOPPABLE,PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: SENS
DISPLAY_NAME: Systemereignisbenachrichtigung
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: SharedAccess
DISPLAY_NAME: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: ShellHWDetection
DISPLAY_NAME: Shellhardwareerkennung
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: Spooler
DISPLAY_NAME: Druckwarteschlange
TYPE : 110 WIN32_OWN_PROCESS (interactive)
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1776
FLAGS :
SERVICE_NAME: srservice
DISPLAY_NAME: Systemwiederherstellungsdienst
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: SSDPSRV
DISPLAY_NAME: SSDP-Suchdienst
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1296
FLAGS :
SERVICE_NAME: stisvc
DISPLAY_NAME: Windows-Bilderfassung (WIA)
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 276
FLAGS :
SERVICE_NAME: TapiSrv
DISPLAY_NAME: Telefonie
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: TermService
DISPLAY_NAME: Terminaldienste
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1056
FLAGS :
SERVICE_NAME: Themes
DISPLAY_NAME: Designs
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: TrkWks
DISPLAY_NAME: Überwachung verteilter Verknüpfungen (Client)
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: vsmon
DISPLAY_NAME: TrueVector Internet Monitor
TYPE : 110 WIN32_OWN_PROCESS (interactive)
STATE : 4 RUNNING
(NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1336
FLAGS :
SERVICE_NAME: W32Time
DISPLAY_NAME: Windows-Zeitgeber
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: WebClient
DISPLAY_NAME: WebClient
TYPE : 10 WIN32_OWN_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1880
FLAGS :
SERVICE_NAME: winmgmt
DISPLAY_NAME: Windows-Verwaltungsinstrumentation
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: wscsvc
DISPLAY_NAME: Sicherheitscenter
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: wuauserv
DISPLAY_NAME: Automatische Updates
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
SERVICE_NAME: WZCSVC
DISPLAY_NAME: Konfigurationsfreie drahtlose Verbindung
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1148
FLAGS :
|
|
13.05.2009, 06:29
| #23 |
| | Vundo.Gen Trojaner wie löschen?? Hi, sieht aus wie ein Devicetreiber und legt wohl Laufwerk "a" und "f" auf sich um, denke daher das es ein "regulärer" Treiber ist... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
13.05.2009, 14:21
| #24 |
| | Vundo.Gen Trojaner wie löschen?? Hi, AntiVir meldet jetzt auch nichts mehr beim hochfahren. Glaub das wars erstmal, danke! Kannst du nun irgendwelche Programme empfehlen? Oder einfach nur AntiVir einmal die Woche drüberlaufen lassen? |
|
13.05.2009, 14:43
| #25 |
| | Vundo.Gen Trojaner wie löschen?? Hi, AviGuard aktiviert lassen und einen Verhaltensscanner zusätzlich installieren, wie z.B. Threadfire (http://www.gutefrage.net/tipp/thread...programm-avira) oder in Verbindung mit einer Firewal TallEmu (http://support.tallemu.com/vbforum/s...ead.php?t=7993) (aber nicht beides gleichzeitig). Dann noch MAM als zweitscanner und den einmal die Woche updaten und gesamt drüberlassen, dabei scannt auch Avira gleich mit ;o)... chris & Out
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
13.05.2009, 14:47
| #26 |
| | Vundo.Gen Trojaner wie löschen?? denkste...  gerade vor einer minute gekommen... grrr Code:
ATTFilter In der Datei 'C:\WINDOWS\system32\panasoba.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
In der Datei 'C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP351\A0134408.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Geändert von a13x (13.05.2009 um 15:43 Uhr) |
|
13.05.2009, 16:40
| #27 |
| | Vundo.Gen Trojaner wie löschen?? Hi, warst Du auf einer bestimmten Seite oder im Internet? PANASOBA.EXE->http://www.prevx.com/filenames/38849...ASOBA.EXE.html (Sehr neu, und schlimmer: Fileinfector d. h. verseucht andere EXE-Files [also eigentlich nicht vundo]).. Die Datei war vorher nicht da falsch, sie ist im RSIT-Log zu finden, wurde aber nicht erkannt und ich habe sie übersehen???, die muß auf Deinem Rechner gelandet sein... Über was surfst Du, IE oder firefox? Alle Plugins mal disablen, Routereinstellungen (wenn vorhanden) prüfen (DHCP-Server etc.). Also noch mal alles von vorne: Alles Scanner updaten, combofix mit Start->ausführen-> combofix /u deinstallieren und neu runterladen, zusätzlich http://secured2k.home.comcast.net/to...undoBeGone.exe Downloaden und im abgesicherten Modus ausführen...! Nach dem Lauf von VTG bitte das Log (findest Du auf dem Desktop) posten! Installiere auch unbedingt zusätzlich Threadfire oder Talemu... chris PS.: Da fällt mir die Warnung von Combofix wieder ein: ----- BITS: Eventuell infizierte Webseiten ----- hxxp://83.149.105.228 Hmm, wenn Sie schon vorher da war, lass sie bitte bei virustotal mal überprüfen (aus der Quarantäne heraus)... Und wir müssen noch mal die Systemwiederherstellung "putzen"...
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (13.05.2009 um 16:58 Uhr) |
|
13.05.2009, 16:57
| #28 |
| | Vundo.Gen Trojaner wie löschen?? Langsam gehts mir echt aufn keks. Bis jetzt läuft der Rechner noch normal. Ich benutze Firefox, vielleicht liegts an dem. Fragt immer nach updates Google Toolbar etc, hats mit dem was zu tun? Ich kann dir genau sagen wo ich war das sind nicht viele Seiten. Trojaner-Board, paar Autoforen... da bin ich schon seit 2 Jahren, Lokalisten, Myspace, Youtube... das wars. Wovon soll ich mir das Ding also schon wieder geholt haben?! Was muss gemacht werden um die Plugins zu deaktiveren? Für den zukünftigen Schutz meintest du doch das Threadfire (hab ich schon drauf) und Talemu nicht gleichzeitig laufen sollten? Naja dann fang ich mal wieder von vorne an  Mfg |
|
13.05.2009, 17:07
| #29 | ||
| | Vundo.Gen Trojaner wie löschen?? Hi, der Eintrag gehört zu einer Niederländischen Adresse... Zitat:
Also ich habe nachgeschaut, der Eintrag ist schon eine ganze Weile da, stellt sich die Frage wieso er nicht erkannt wurde (und ich habe Ihn leider übersehen [Asche auf mein Haupt])... Hm, könnte auch ein False/Positive sein, um das zu kontrollieren müsstest Du die Datei wiederherstellen (aber Vorsicht beim klicken, kein Doppelklick, nicht ausführen, und sie ist versteckt (hidden)) Alternativ aus der Quarantäne heraus an Avira schicken, wobei die bei sowas sehr "gemütlich" sind... Hmm, sehr seltsam was Avira da treibt: Zitat:
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
13.05.2009, 18:10
| #30 |
| | Vundo.Gen Trojaner wie löschen?? Habe Avira jetzt erstmal deaktiviert, es nervt. Ständig kommen Meldungen von gefährlichen Programmen die ich gerade installiert hab weil du sie mir empfohlen hast lol. Dafür hab ich jetzt ThreadFire und Online Armor am laufen. Hab MAM durchgelassen, nix. Dann Combofix mit ausführen und anschliessend VBG im abgesicherten Modus. Wie soll ich die Adresse bei Virustotal überprüfen lassen, was muss ich machen? Hier die logs...  Code:
ATTFilter [05/13/2009, 17:57:53] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Besitzer\Desktop\VirtumundoBeGone.exe" )
[05/13/2009, 17:58:03] - Detected System Information:
[05/13/2009, 17:58:03] - Windows Version: 5.1.2600, Service Pack 3
[05/13/2009, 17:58:03] - Current Username: Besitzer (Admin)
[05/13/2009, 17:58:03] - Windows is in SAFE mode with Networking.
[05/13/2009, 17:58:03] - Searching for Browser Helper Objects:
[05/13/2009, 17:58:03] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader)
[05/13/2009, 17:58:03] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/13/2009, 17:58:03] - BHO 3: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[05/13/2009, 17:58:03] - Finished Searching Browser Helper Objects
[05/13/2009, 17:58:03] - Finishing up...
[05/13/2009, 17:58:03] - Nothing found! Exiting...
Code:
ATTFilter ComboFix 09-05-11.08 - Besitzer 13.05.2009 17:48.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2046.1339 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *enabled*
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
((((((((((((((((((((((( Dateien erstellt von 2009-04-13 bis 2009-05-13 ))))))))))))))))))))))))))))))
.
2009-05-13 16:28 . 2009-05-13 16:28 -------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\OnlineArmor
2009-05-13 16:28 . 2009-05-13 16:29 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\OnlineArmor
2009-05-13 16:27 . 2009-04-28 04:02 31824 ----a-w c:\windows\system32\drivers\OAmon.sys
2009-05-13 16:27 . 2009-04-28 04:07 29776 ----a-w c:\windows\system32\drivers\OAnet.sys
2009-05-13 16:27 . 2009-04-28 04:01 198224 ----a-w c:\windows\system32\drivers\OADriver.sys
2009-05-13 16:27 . 2009-05-13 16:27 -------- d-----w c:\programme\Tall Emu
2009-05-13 13:50 . 2009-03-03 11:19 39184 ----a-w c:\windows\system32\drivers\TfSysMon.sys
2009-05-13 13:50 . 2009-03-03 11:19 12560 ----a-w c:\windows\system32\drivers\TfKbMon.sys
2009-05-13 13:50 . 2009-03-03 11:19 33040 ----a-w c:\windows\system32\drivers\TfNetMon.sys
2009-05-13 13:50 . 2009-03-03 11:19 51472 ----a-w c:\windows\system32\drivers\TfFsMon.sys
2009-05-13 13:50 . 2009-05-13 14:00 -------- d-----w c:\programme\ThreatFire
2009-05-13 13:50 . 2009-05-13 13:50 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2009-05-11 15:13 . 2009-05-11 15:13 -------- d-----w C:\rsit
2009-05-11 11:22 . 2009-05-11 11:22 -------- d-----w c:\programme\Trend Micro
2009-05-11 10:58 . 2009-05-11 10:58 -------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-05-11 10:58 . 2009-04-06 14:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-11 10:58 . 2009-04-06 14:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-11 10:58 . 2009-05-11 10:58 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-11 10:58 . 2009-05-11 10:58 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-11 10:45 . 2009-05-11 10:45 -------- d-----w c:\programme\CCleaner
2009-04-16 07:51 . 2009-04-16 07:51 -------- d-----w c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2009-04-15 09:29 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 09:29 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 09:29 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 09:29 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 09:29 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 09:29 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 09:29 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 09:29 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 09:29 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 09:29 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-13 16:51 . 2008-01-17 15:27 137400352 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-13 16:28 . 2006-02-28 12:00 85862 ----a-w c:\windows\system32\perfc007.dat
2009-05-13 16:28 . 2006-02-28 12:00 460294 ----a-w c:\windows\system32\perfh007.dat
2009-05-13 04:03 . 2008-01-17 15:27 1614464 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-12 14:10 . 2009-01-16 12:04 -------- d-----w c:\programme\Spybot - Search & Destroy
2009-05-11 13:03 . 2008-10-12 21:14 -------- d-----w c:\programme\Sony
2009-05-11 13:02 . 2009-01-30 15:21 -------- d-----w c:\programme\Mumble
2009-05-11 12:29 . 2008-01-17 14:33 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-05-11 01:07 . 2009-05-11 01:08 2198528 ----a-w c:\windows\Internet Logs\xDB9.tmp
2009-05-11 01:07 . 2009-05-11 01:08 409600 ----a-w c:\windows\Internet Logs\xDB8.tmp
2009-05-11 00:54 . 2008-01-17 17:25 -------- d-----w c:\programme\MAGIX
2009-05-11 00:27 . 2008-07-01 18:45 -------- d-----w c:\programme\ICQToolbar
2009-04-10 00:40 . 2009-04-10 00:40 103744 ----a-w c:\windows\system32\drivers\AnyDVD.sys
2009-04-08 15:40 . 2009-04-08 15:41 24064 ----a-w c:\windows\Internet Logs\xDB7.tmp
2009-04-06 20:44 . 2009-04-06 20:52 924160 ----a-w c:\windows\Internet Logs\xDB6.tmp
2009-04-01 18:11 . 2009-04-01 18:11 -------- d-----r c:\programme\Skype
2009-03-30 19:49 . 2008-01-16 18:49 -------- d-----w c:\programme\ICQLite
2009-03-28 12:08 . 2008-04-14 04:13 6762649 ----a-w c:\windows\Internet Logs\tvDebug.zip
2009-03-06 14:19 . 2006-02-28 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2006-02-28 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2006-02-28 12:00 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-17 17:11 . 2009-02-17 17:11 24232 ----a-w c:\windows\system32\drivers\ElbyCDIO.sys
2009-02-17 13:33 . 2009-02-17 13:33 89256 ----a-w c:\windows\system32\ElbyCDIO.dll
2008-01-17 15:42 . 2008-01-17 14:48 48 --sh--w c:\windows\S22198A47.tmp
.
((((((((((((((((((((((((((((( SnapShot@2009-05-12_12.36.09 )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-02-28 12:00 . 2009-05-13 16:28 73148 c:\windows\system32\perfc009.dat
+ 2006-02-28 12:00 . 2009-05-13 16:28 444536 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-25 1953792]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-11-04 49152]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2006-07-13 122880]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"CreativeTaskScheduler"="c:\programme\Creative\Shared Files\CTSched.exe" [2006-01-09 53340]
"ThreatFire"="c:\programme\ThreatFire\TFTray.exe" [2009-03-03 263440]
"@OnlineArmor GUI"="c:\programme\Tall Emu\Online Armor\oaui.exe" [2009-04-28 2052296]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-05 1626112]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CtHelper.exe [2007-11-12 19456]
"CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\Ctxfihlp.exe [2007-11-12 19968]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys --> c:\windows\system32\drivers\pxscan.sys [?]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys --> c:\windows\system32\drivers\pxsec.sys [?]
R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [13.05.2009 14:50 51472]
R0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [13.05.2009 14:50 39184]
R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [13.05.2009 17:27 198224]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [13.05.2009 17:27 31824]
R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [13.05.2009 17:27 29776]
R2 OAcat;Online Armor Helper Service;c:\programme\Tall Emu\Online Armor\oacat.exe [13.05.2009 17:27 361672]
R2 ThreatFire;ThreatFire;c:\programme\ThreatFire\TFService.exe service --> c:\programme\ThreatFire\TFService.exe service [?]
R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [13.05.2009 14:50 33040]
S2 SvcOnlineArmor;Online Armor;c:\programme\Tall Emu\Online Armor\oasrv.exe [13.05.2009 17:27 3264200]
S3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\drivers\ESLvnic.sys [08.05.2008 15:29 20216]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.01.2008 18:26 1527900]
S3 Razerlow;Razer Copperhead Driver;c:\windows\system32\drivers\Razerlow.sys [16.01.2008 20:08 11372]
S3 SysInteg;SysInteg;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg27891;SysInteg27891;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg32290;SysInteg32290;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
--- Andere Dienste/Treiber im Speicher ---
*NewlyCreated* - CSISCANNER
*NewlyCreated* - MBAMSWISSARMY
*NewlyCreated* - MCHINJDRV
*NewlyCreated* - OACAT
*NewlyCreated* - OADEVICE
*NewlyCreated* - OAMON
*NewlyCreated* - OANET
*NewlyCreated* - PXSCAN
*NewlyCreated* - PXSEC
*NewlyCreated* - SVCONLINEARMOR
*NewlyCreated* - TFFSMON
*NewlyCreated* - TFNETMON
*NewlyCreated* - TFSYSMON
*NewlyCreated* - THREATFIRE
*Deregistered* - CSIScanner
*Deregistered* - MBAMSwissArmy
*Deregistered* - mchInjDrv
.
Inhalt des "geplante Tasks" Ordners
2009-04-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2009-05-13 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-02-08 02:46]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yodl.de/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\8ymow3hh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-13 17:51
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(692)
c:\programme\ThreatFire\TFWAH.dll
c:\programme\ThreatFire\TFNI.dll
- - - - - - - > 'lsass.exe'(748)
c:\programme\ThreatFire\TFWAH.dll
- - - - - - - > 'explorer.exe'(2156)
c:\programme\ThreatFire\TFWAH.dll
.
Zeit der Fertigstellung: 2009-05-13 17:53
ComboFix-quarantined-files.txt 2009-05-13 16:53
ComboFix2.txt 2009-05-12 12:37
Vor Suchlauf: 14 Verzeichnis(se), 32.353.001.472 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 32.343.789.568 Bytes frei
195 --- E O F --- 2009-04-15 21:55
|
|
| Themen zu Vundo.Gen Trojaner wie löschen?? |
| abend, abgesicherte, abgesicherten, abgesicherten modus, andere, antivir, einfach, entweder, funde, hochfährt, löschen, löschen?, lösung, modus, pc normal, problems, sofort, sprache, suche, troja, trojaner, verzweifel, verzweifelt, vundo.gen, weiterhelfen, überhaupt |
Linear-Darstellung
