| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Vundo.Gen Trojaner wie löschen??Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
11.05.2009, 11:08
| #1 |
 |  Vundo.Gen Trojaner wie löschen?? Hallo, ich habe schon die suche benutzt aber entweder ihr sprecht eine andere sprache oder ich versteh davon einfach überhaupt nichts.  Gestern Abend hab ich mein PC eingeschalten und sofort kam AntiVir mit 16 Funden "Vundo.Gen". Wenn der PC normal hochfährt kann man nichts mehr machen. Hab ihn jetzt im abgesicherten Modus gebootet und bin verzweifelt auf der suche nach der Lösung des Problems, könnt ihr mir irgendwie weiterhelfen? |
|
11.05.2009, 11:34
| #2 |
  | Vundo.Gen Trojaner wie löschen?? Hi,
__________________arbeite bitte alles was unter dem Link "Erstbeitrag" steht im abgesicherten Modus ab (s. Signatur)... Zusätzlich: SilentRunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip chris
__________________ |
|
11.05.2009, 12:50
| #3 |
| | Vundo.Gen Trojaner wie löschen?? Habe jetzt alle Tests soweit gemacht.
__________________Als erstes den CCleaner, dann Anti-Maleware und schliesslich HJT. Im Abgesicherten Modus funktioniert bei mir das Internet nur etwa 10 Minuten, nach dem Neustart gings wieder. Jetzt nachdem ich alles hatte hab ich einen letzten Neustart gemacht. Allerdings ist der PC nicht mehr hochgefahren nach dem klick auf den abgesicherten Modus hatte ich auch das Windows Betriebssystem nicht mehr zur auswahl?? Hab nocheinmal normal gebootet und die Datenträger wurden auf ihre Konsistenz geprüft? Nachdem hat sich der PC nochmal gebootet hat (normal) war alles wieder in Ordnung. Will mir trotzdem 100% sicher sein, also hier meine logs. Code:
ATTFilter Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2108
Windows 5.1.2600 Service Pack 3
11.05.2009 12:16:44
mbam-log-2009-05-11 (12-16-44).txt
Scan-Methode: Vollständiger Scan (C:\|G:\|)
Durchsuchte Objekte: 195714
Laufzeit: 14 minute(s), 55 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 8
Infizierte Dateien: 44
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
C:\WINDOWS\system32\zotemiso.dll (Trojan.Vundo.H) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{34e5a7a2-ea4b-46e9-9d66-dd423e1017cc} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{34e5a7a2-ea4b-46e9-9d66-dd423e1017cc} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Installer\UpgradeCodes\2dda3201767c34b46a72671d26d39178 (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\2dda3201767c34b46a72671d26d39178 (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4eb29a50684e23f4e9d65186fa814342 (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8baf7ca6202db60478328f0ee1eef1ee (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8f92bca0d10d5ad42ac7b8a272b92649 (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\a7a85540b6b4ac64db79ab454d0c0f9c (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\d722d4cbe0a53d44c975cf912bb7deba (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{34e5a7a2-ea4b-46e9-9d66-dd423e1017cc} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\antispywarebot_is1 (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AntispywareBot (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\noyiwahube (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antispywarebot (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\zotemiso.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\zotemiso.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\Programme\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AntispywareBot (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AntispywareBot\Log (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AntispywareBot\Settings (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\WINDOWS\system32\bivegedu.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\udegevib.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\javinete.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\etenivaj.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vuwilamu.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\umaliwuv.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bafuvisi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zotemiso.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Programme\AntispywareBot\SpyCleaner.dll (Rogue.SpyCleaner) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP343\A0123567.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP345\A0123687.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP345\A0123688.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP345\A0123689.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP348\A0124824.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP348\A0124825.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP348\A0124828.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP349\A0127798.rbf (Rogue.SpyCleaner) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP349\A0133348.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62733A4A-D625-40D9-9977-76151B6E27FD}\RP349\A0133349.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\feyiloto.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sujegaru.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vutifumo.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\WebMediaPlayer.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources\wmp_translation_file.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins\classic.skn (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AntispywareBot\rs.dat (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AntispywareBot\Log\2009 May 11 - 01_21_38 AM_315.log (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AntispywareBot\Settings\ScanResults.pie (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\AntispywareBot.exe (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\AntispywareBot.url (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\DataBase.ref (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\license.rtf (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\TCL.dll (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\unins000.dat (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\unins000.exe (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\vistaCPtasks.xml (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareBot\zlib.dll (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\AntiSpywareBot.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\AntispywareBot Scheduled Scan.job (Rogue.AntiSpywareBot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\piralume.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fagometo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dukotova.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
HJT Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:24:52, on 11.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16827) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local> R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll O1 - Hosts: 82.98.231.89 url.adtrgt.com O1 - Hosts: 82.98.231.89 googleads2.gdoubleclick.net O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [CreativeTaskScheduler] "C:\Programme\Creative\Shared Files\CTSched.exe" /logon O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [noyiwahube] Rundll32.exe "C:\WINDOWS\system32\gefuvura.dll",s O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKLM\..\RunOnce: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [noyiwahube] Rundll32.exe "C:\WINDOWS\system32\gefuvura.dll",s (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15034/CTPID.cab O20 - AppInit_DLLs: c:\windows\system32\sowemame.dll,C:\WINDOWS\system32\zotemiso.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe O23 - Service: EslWireService - Unknown owner - C:\Programme\EslWire\service\EslWireSrv.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA-OMEGA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 8092 bytes |
|
11.05.2009, 13:27
| #4 |
| | Vundo.Gen Trojaner wie löschen?? Hi, hier der erste Teile aus dem HJ-Log, bevor sich das Teil wieder festsetzt: Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|noyiwahube
Files to delete:
C:\WINDOWS\system32\gefuvura.dll
c:\windows\system32\sowemame.dll
C:\WINDOWS\system32\zotemiso.dll
Folders to delete:
C:\Programme\Save
C:\Programme\BearShare
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O4 - HKUS\S-1-5-19\..\Run: [noyiwahube] Rundll32.exe "C:\WINDOWS\system32\gefuvura.dll",s (User 'LOKALER DIENST')
O4 - HKLM\..\Run: [noyiwahube] Rundll32.exe "C:\WINDOWS\system32\gefuvura.dll",s
O1 - Hosts: 82.98.231.89 url.adtrgt.com
O1 - Hosts: 82.98.231.89 googleads2.gdoubleclick.net
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
11.05.2009, 13:54
| #5 |
| | Vundo.Gen Trojaner wie löschen?? Hi, habe das Programm ausgeführt und anschliessend neu gestartet. Die Log ist zwar unter C:/Avenger gespeichert allerdings als ZIP mit Passwort? Dann hab ich HJT geöffnet und die Häckchen gesetzt, allerdings war ein Befehl nicht dabei. Code:
ATTFilter O4 - HKLM\..\Run: [noyiwahube] Rundll32.exe "C:\WINDOWS\system32\gefuvura.dll",s
Mfg |
|
11.05.2009, 15:32
| #6 |
| | Vundo.Gen Trojaner wie löschen?? Hi, den Eintrag hat Avenger gekillt... Was wurde von Avira noch gefunden (und wo)? Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.htm Führe einen Systemscan durch und poste das Ergebnis! Mach ein update für MAM und lass es dann auch noch mal laufen... Wird dann was gefunden, RSIT: RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris
__________________ --> Vundo.Gen Trojaner wie löschen?? |
|
11.05.2009, 15:55
| #7 |
| | Vundo.Gen Trojaner wie löschen?? Hab die aggressiven Settings eingestellt und gefunden hat Avira folgendes: Die ersten 4 Einträge waren noch vom letzten Monat, jetzt sind hald noch 100 dazugekommen, alle Vundo. Avira läuft im Moment muss aber bald los, schaffe ich es nicht poste ich morgen das Ergebnis. Code:
ATTFilter In der Datei 'C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8ymow3hh.default\Cache\_CACHE_003_'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei löschen
In der Datei 'C:\Dokumente und Einstellungen\Besitzer\Desktop\6530\SetupAnyDVD6530.EXE'
wurde ein Virus oder unerwünschtes Programm 'DR/TDSS.TTY.1' [dropper] gefunden.
Ausgeführte Aktion: Datei löschen
In der Datei 'C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
In der Datei 'C:\WINDOWS\system32\hobolaku.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
In der Datei 'C:\WINDOWS\system32\sowemame.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
Die Datei 'C:\WINDOWS\system32\gefuvura.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Durchgeführte Aktion(en):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\noyiwahube.
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6d6848.qua' verschoben!
|
|
12.05.2009, 12:50
| #8 |
| | Vundo.Gen Trojaner wie löschen?? Wenn ich ComboFix starten will kommt die Meldung "Achtung!! ComboFix hat festgestellt das folgende Real-Time-Scanner aktiv sind: Avira Antivir Antivirus und Eindringling Schutzprogramme sind dafuer bekannt, dass sie die Arbeit von ComboFix behindern. Dies kann zu unvorhersehbaren Ergebnissen oder eventuellen PC Schaden fuehren. Bitte deaktiviere diese Scanner, bevor Du auf OK klickst." Soll ich jetzt Avira deinstall? Der Scanner ist ja immer aktiv oder? |
|
12.05.2009, 13:01
| #9 |
| | Vundo.Gen Trojaner wie löschen?? Hi, nein, Avira lässt sich über: Taskleiste->rechte Maustaste über dem Avirasymbol->AntiVir Guard akvtivieren dort das Häkchen raus, dann sollte er deaktiviert sein... Eine Deinstallation ist nicht notwendig! chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
12.05.2009, 14:00
| #10 |
| | Vundo.Gen Trojaner wie löschen?? Hab ComboFix jetzt durchlaufen lassen, dauerte etwa 10minuten. Diese "wiederherstellungskonsole" brauche ich die auch? Dazu müsste ich nämlich ein Online Update machen, was ich aber jetzt erstmal nicht gemacht habe. Ist jetzt alles überstanden oder wie gehts nun weiter? @ Chris, danke für deine hilfe  Code:
ATTFilter ComboFix 09-05-11.08 - Besitzer 12.05.2009 13:34.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2046.1642 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *enabled*
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
ADS - WINDOWS: deleted 48 bytes in 1 streams.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq_nav.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq_navps.dat
c:\windows\system32\alirojak.ini
c:\windows\system32\egihokem.ini
c:\windows\system32\esodohuy.ini
c:\windows\system32\ifitejul.ini
c:\windows\system32\iwozituj.ini
c:\windows\system32\ujakazer.ini
----- BITS: Eventuell infizierte Webseiten -----
hxxp://83.149.105.228
.
((((((((((((((((((((((( Dateien erstellt von 2009-04-12 bis 2009-05-12 ))))))))))))))))))))))))))))))
.
2009-05-11 10:45 . 2009-05-11 10:45 -------- d-----w c:\programme\CCleaner
2009-04-16 07:51 . 2009-04-16 07:51 -------- d-----w c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2009-04-15 09:29 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 09:29 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 09:29 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 09:29 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 09:29 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 09:29 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 09:29 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 09:29 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 09:29 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 09:29 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-12 12:36 . 2008-01-17 15:27 137185312 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-12 11:15 . 2008-01-17 15:27 1613120 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-11 13:03 . 2008-10-12 21:14 -------- d-----w c:\programme\Sony
2009-05-11 13:02 . 2009-01-30 15:21 -------- d-----w c:\programme\Mumble
2009-05-11 12:29 . 2008-01-17 14:33 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-05-11 11:22 . 2009-05-11 11:22 -------- d-----w c:\programme\Trend Micro
2009-04-01 18:11 . 2009-04-01 18:11 -------- d-----r c:\programme\Skype
2009-03-30 19:49 . 2008-01-16 18:49 -------- d-----w c:\programme\ICQLite
2009-03-28 12:08 . 2008-04-14 04:13 6762649 ----a-w c:\windows\Internet Logs\tvDebug.zip
2009-03-06 14:19 . 2006-02-28 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2006-02-28 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2006-02-28 12:00 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-17 17:11 . 2009-02-17 17:11 24232 ----a-w c:\windows\system32\drivers\ElbyCDIO.sys
2009-02-17 13:33 . 2009-02-17 13:33 89256 ----a-w c:\windows\system32\ElbyCDIO.dll
2008-01-17 15:42 . 2008-01-17 14:48 48 --sh--w c:\windows\S22198A47.tmp
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-25 1953792]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-11-04 49152]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2006-07-13 122880]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"CreativeTaskScheduler"="c:\programme\Creative\Shared Files\CTSched.exe" [2006-01-09 53340]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2007-05-11 2512392]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-05 1626112]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CtHelper.exe [2007-11-12 19456]
"CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\Ctxfihlp.exe [2007-11-12 19968]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 EslWireService;EslWireService;c:\programme\EslWire\service\EslWireSrv.exe [08.05.2008 15:29 868864]
R3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\drivers\ESLvnic.sys [08.05.2008 15:29 20216]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.01.2008 18:26 1527900]
S3 Razerlow;Razer Copperhead Driver;c:\windows\system32\drivers\Razerlow.sys [16.01.2008 20:08 11372]
S3 SysInteg;SysInteg;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg27891;SysInteg27891;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg32290;SysInteg32290;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
.
Inhalt des "geplante Tasks" Ordners
2009-04-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2009-05-12 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-02-08 02:46]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yodl.de/
uInternet Settings,ProxyOverride = <local>
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\8ymow3hh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-12 13:36
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
Zeit der Fertigstellung: 2009-05-12 13:37
ComboFix-quarantined-files.txt 2009-05-12 12:36
Vor Suchlauf: 14 Verzeichnis(se), 32.334.184.448 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 32.376.897.536 Bytes frei
141 --- E O F --- 2009-04-15 21:55
|
|
12.05.2009, 15:13
| #11 |
| | Vundo.Gen Trojaner wie löschen?? Hi, das sieht schon recht gut aus... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\CF5534.exe
c:\windows\system32\drivers\SysInteg010.sys
Was treibt der Rechner? chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
14.05.2009, 22:11
| #12 |
| | Vundo.Gen Trojaner wie löschen?? Sorry, daß ich hier so reinplatze. Bekomme den Trojaner nicht weg und muss was superwichtiges am rechner machen :-( bin schon mit dem cleaner rüber. hier die hijeck this logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:07:33, on 14.05.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Google\Update\GoogleUpdate.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\QuickTime\qttask.exe C:\WINDOWS\Mixer.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Portrait Displays\forteManager\DTHtml.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle\ptidle.exe C:\WINDOWS\System32\locator.exe C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\Programme\Hama\Common\RaUI.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe c:\programme\antivir personaledition classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Adobe\Adobe InDesign CS2\InDesign.exe C:\Programme\Mozilla Firefox 2.0 Web.de\nfirefox.exe C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe C:\DOKUME~1\Pelle\LOKALE~1\Temp\Adobelm_Cleanup.0001 C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe C:\Programme\Hijack This\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001 R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} - - (no file) O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file) O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {652da41b-df9a-4ad1-8ee1-86d323f93eaa} - C:\WINDOWS\system32\tukejavi.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: (no name) - {BFD215A9-52D7-40E8-95EB-E99B4910F53D} - (no file) O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file) O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DT LGE] C:\Programme\Portrait Displays\forteManager\DTHtml.exe -startup_folder O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp" O4 - HKLM\..\Run: [28e20362] rundll32.exe "C:\WINDOWS\system32\tihufivi.dll",b O4 - HKLM\..\Run: [CPM2bd130fe] Rundll32.exe "c:\windows\system32\divosewo.dll",a O4 - HKLM\..\Run: [rovubugegu] Rundll32.exe "C:\WINDOWS\system32\zesanido.dll",s O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp" O4 - HKCU\..\Run: [ptidle] "C:\Dokumente und Einstellungen\Pelle\Anwendungsdaten\ptidle\ptidle.exe" 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: D-Link AirPlus.lnk = ? O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {2931566C-B8A6-46C5-BF4D-E6AB9251E953} (Nexon Package Manager Control) - http://file.nx.com/activex/public_new/nxpm.cab O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://activex.webcam.nl/AxisCamControl.cab O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{93A6C06C-88AE-4D27-B9DA-84F89DFDFA2D}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{F9E7D2D9-E995-4BD6-B4DA-71ECB3CB00D9}: NameServer = 192.168.2.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O20 - AppInit_DLLs: pushow72.dll c:\windows\system32\divosewo.dll,C:\WINDOWS\system32\pamuyomi.dll O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\divosewo.dll (file missing) O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\divosewo.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Update Service (gupdate1c9a5c46f8f9a68) (gupdate1c9a5c46f8f9a68) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe -- End of file - 12969 bytes kann mir jemand helfen? system windows xp sp2 danke! |
|
15.05.2009, 06:57
| #13 |
| | Vundo.Gen Trojaner wie löschen?? Hi, ausnahmsweise hier im Thread weiter, obwohl Du eigentlich einen eigenen erstellen müsstet... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\prnet.tmp
C:\WINDOWS\system32\tihufivi.dll
c:\windows\system32\divosewo.dll
C:\WINDOWS\system32\pushow72.dll
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|28e20362
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|CPM2bd130fe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|rovubugegu
Files to delete:
C:\WINDOWS\system32\prnet.tmp
C:\WINDOWS\system32\tihufivi.dll
c:\windows\system32\divosewo.dll
C:\WINDOWS\system32\zesanido.dll
C:\WINDOWS\system32\pushow72.dll
C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
Folders to delete:
C:\Programme\MyWay\SrchAstt\1.bin
C:\Programme\MyWay\SrchAstt
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\divosewo.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\divosewo.dll (file missing)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp Chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
15.05.2009, 11:14
| #14 |
| | Vundo.Gen Trojaner wie löschen?? Stimmt, vielen Danke - hätte ich machen sollen. Bin noch bei der Arbeit, werde das heute abend direkt machen. Danke für die Mühe, bis später! |
|
15.05.2009, 19:11
| #15 |
| | Vundo.Gen Trojaner wie löschen?? Datei prnet.tmp empfangen 2009.05.15 19:54:26 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 21/40 (52.5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit ist zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.15 Trojan-Clicker.Vb!IK AhnLab-V3 5.0.0.2 2009.05.15 - AntiVir 7.9.0.168 2009.05.15 PCK/ExeCryptor Antiy-AVL 2.0.3.1 2009.05.15 - Authentium 5.1.2.4 2009.05.15 - Avast 4.8.1335.0 2009.05.15 - AVG 8.5.0.336 2009.05.15 Downloader.Generic8.AMBO BitDefender 7.2 2009.05.15 Trojan.Clicker.VB.VH CAT-QuickHeal 10.00 2009.05.15 (Suspicious) - DNAScan ClamAV 0.94.1 2009.05.15 - Comodo 1157 2009.05.08 - DrWeb 5.0.0.12182 2009.05.15 Trojan.Click.25308 eSafe 7.0.17.0 2009.05.14 Win32.PCKExeCryptor eTrust-Vet 31.6.6507 2009.05.15 Win32/AdClicker.WP F-Prot 4.4.4.56 2009.05.15 - F-Secure 8.0.14470.0 2009.05.15 - Fortinet 3.117.0.0 2009.05.15 W32/Dloader.E!tr GData 19 2009.05.15 Trojan.Clicker.VB.VH Ikarus T3.1.1.49.0 2009.05.15 Trojan-Clicker.Vb K7AntiVirus 7.10.735 2009.05.14 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2009.05.15 - McAfee 5616 2009.05.15 Generic Downloader.e McAfee+Artemis 5616 2009.05.15 Generic Downloader.e McAfee-GW-Edition 6.7.6 2009.05.15 Packer.ExeCryptor Microsoft 1.4602 2009.05.15 - NOD32 4080 2009.05.15 - Norman 6.01.05 2009.05.14 - nProtect 2009.1.8.0 2009.05.15 - Panda 10.0.0.14 2009.05.15 Trj/CI.A PCTools 4.4.2.0 2009.05.15 Packed/Execryptor Prevx 3.0 2009.05.15 High Risk Fraudulent Security Program Rising 21.29.44.00 2009.05.15 - Sophos 4.41.0 2009.05.15 Mal/Generic-A Sunbelt 3.2.1858.2 2009.05.15 - Symantec 1.4.4.12 2009.05.15 Downloader TheHacker 6.3.4.1.326 2009.05.15 - TrendMicro 8.950.0.1092 2009.05.15 - VBA32 3.12.10.5 2009.05.15 - ViRobot 2009.5.15.1737 2009.05.15 - VirusBuster 4.6.5.0 2009.05.15 Packed/Execryptor weitere Informationen File size: 165376 bytes MD5...: b52783213f0f56c5d30e071c54a63bf8 SHA1..: 6ed9a5b4b3d4acf446f3543c9deea42a51890d01 SHA256: ed26dc7c0740e8b46f34772647778e33aa3d8085290b2dc6793d2393b01d4acb SHA512: d954829cefd07cf5ad338957b78f0bcc5a01e7ad15eba94674449187f3d2d6c9 e023f57426bad07c4bd6d710e659f78d934f9cbb5106c0a188e0fdba17b43d1e ssdeep: 3072:Xr8AA3amqXi23TU6roUvhH+VJCK4RoqNFm5++576AFR7eMh+GJmqyv2lLPE 4I:X4AUamqRjU6rnt+bCKm1mA+576mRfryN PEiD..: - TrID..: File type identification Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x550d1 timedatestamp.....: 0x4a03224c (Thu May 07 18:02:52 2009) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 i1eyd9iy 0x1000 0xc000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .data 0xd000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0xe000 0x4000 0x4000 3.39 c5ccd71ea48bb09ce02d09918811e778 gxe7quc. 0x12000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e scx1rp7d 0x13000 0x1f000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e tuhsy6ho 0x32000 0x24000 0x230f5 7.99 1f0ac80d29c62255069a5fa8534944ce cl.nss.w 0x56000 0x1000 0x1000 7.95 5ac24357dd2b1c4863dd04f18a1f986d ( 0 imports ) ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - packers (Kaspersky): Execryptor <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=F345B7AD0007D7E386170202CA125600F7D2018A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=F345B7AD0007D7E386170202CA125600F7D2018A</a> packers (F-Prot): EXECryptor tihuvivi: 0 bytes size received / Se ha recibido un archivo vacio habe dann nach der tihuvivi.VIR gesucht mit folgendem ergebnis: Datei tihufivi.VIR empfangen 2009.05.15 20:00:54 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 17/39 (43.59%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 5. Geschätzte Startzeit ist zwischen 70 und 100 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.15 Trojan.Win32.Vundo!IK AhnLab-V3 5.0.0.2 2009.05.15 - AntiVir 7.9.0.168 2009.05.15 TR/Vundo.Gen Antiy-AVL 2.0.3.1 2009.05.15 - Authentium 5.1.2.4 2009.05.15 W32/Virtumonde.BA2.gen!Eldorado Avast 4.8.1335.0 2009.05.15 Win32:Vuku AVG 8.5.0.336 2009.05.15 - BitDefender 7.2 2009.05.15 Gen:Trojan.Heur.P4018E7A7A7 CAT-QuickHeal 10.00 2009.05.15 - ClamAV 0.94.1 2009.05.15 - Comodo 1157 2009.05.08 - DrWeb 5.0.0.12182 2009.05.15 - eSafe 7.0.17.0 2009.05.14 Suspicious File eTrust-Vet 31.6.6507 2009.05.15 - F-Prot 4.4.4.56 2009.05.15 W32/Virtumonde.BA2.gen!Eldorado F-Secure 8.0.14470.0 2009.05.15 Packed.Win32.Krap.q Fortinet 3.117.0.0 2009.05.15 - GData 19 2009.05.15 Gen:Trojan.Heur.P4018E7A7A7 Ikarus T3.1.1.49.0 2009.05.15 Trojan.Win32.Vundo K7AntiVirus 7.10.735 2009.05.14 - Kaspersky 7.0.0.125 2009.05.15 Packed.Win32.Krap.q McAfee 5616 2009.05.15 Vundo.gen.ab McAfee+Artemis 5616 2009.05.15 Vundo.gen.ab McAfee-GW-Edition 6.7.6 2009.05.15 Trojan.Vundo.Gen Microsoft 1.4602 2009.05.15 Trojan:Win32/Vundo.gen!AM NOD32 4080 2009.05.15 a variant of Win32/Kryptik.OS Norman 6.01.05 2009.05.14 - nProtect 2009.1.8.0 2009.05.15 - Panda 10.0.0.14 2009.05.15 - PCTools 4.4.2.0 2009.05.15 - Prevx 3.0 2009.05.15 - Rising 21.29.44.00 2009.05.15 - Sophos 4.41.0 2009.05.15 Troj/Virtum-Gen Sunbelt 3.2.1858.2 2009.05.15 - Symantec 1.4.4.12 2009.05.15 - TheHacker 6.3.4.1.326 2009.05.15 - TrendMicro 8.950.0.1092 2009.05.15 - VBA32 3.12.10.5 2009.05.15 - ViRobot 2009.5.15.1737 2009.05.15 - weitere Informationen File size: 80384 bytes MD5...: e164302cb6df5d7a0b5aebe354411100 SHA1..: b3f636dab75485e6217a1bbb1c8067a6bc0dc365 SHA256: a2f2193b88c4c7557a961ac305cc59dfaeb20325468a2d5a30804dd8be7ded5c SHA512: feb96aac0cb7d2ac17de491ac039149f39be10830c71a0cdf3b912b37294b3e7 05366fb8e08b064c3193e4ba44f640dce3ddd16e88ab87eba333106691e6365e ssdeep: 1536:bIWMIPFuqMbRCDLMCCWaIt6fC9gCgWMMjZuFOhnwN0s3qgJ+0B6:b7/9uZR gLMCaI42gCDMMVuOJheM PEiD..: - TrID..: File type identification Win32 Executable Generic (58.4%) Clipper DOS Executable (13.8%) Generic Win/DOS Executable (13.7%) DOS Executable Generic (13.7%) VXD Driver (0.2%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2457f timedatestamp.....: 0x4823734f (Thu May 08 21:40:31 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1000 0x200 7.62 99356c2545cabb27b6e8860455dd50b0 .rdata 0x2000 0x1000 0x200 7.57 491d3a9ed4043371105715e2bdba47c0 .data 0x3000 0x20000 0x10400 8.00 9ad7442512b3bea4540ea4eaa47b4232 .reloc 0x23000 0x1000 0x800 1.25 d616cf08c53f2a2cf170a8f457768384 .text 0x24000 0x3000 0x2600 4.84 c96fcefa316773f30430f0145c6daabe ( 4 imports ) > KERNEL32.dll: CreateFileW, ExitProcess > WINMM.dll: CloseDriver, mmioWrite > GDI32.dll: CreateBitmap > comdlg32.dll: PrintDlgExW ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - so dann die divosewo.VIR (dll nicht vorhanden): Datei DIVOSEWO.VIR empfangen 2009.05.15 20:04:28 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 19/40 (47.5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit ist zwischen 49 und 70 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.15 Trojan.Win32.Vundo!IK AhnLab-V3 5.0.0.2 2009.05.15 - AntiVir 7.9.0.168 2009.05.15 TR/Vundo.Gen Antiy-AVL 2.0.3.1 2009.05.15 - Authentium 5.1.2.4 2009.05.15 W32/Virtumonde.BA2.gen!Eldorado Avast 4.8.1335.0 2009.05.15 Win32:Vuku AVG 8.5.0.336 2009.05.15 - BitDefender 7.2 2009.05.15 Gen:Trojan.Heur.P4018E7A7A7 CAT-QuickHeal 10.00 2009.05.15 - ClamAV 0.94.1 2009.05.15 - Comodo 1157 2009.05.08 - DrWeb 5.0.0.12182 2009.05.15 - eSafe 7.0.17.0 2009.05.14 Suspicious File eTrust-Vet 31.6.6507 2009.05.15 - F-Prot 4.4.4.56 2009.05.15 W32/Virtumonde.BA2.gen!Eldorado F-Secure 8.0.14470.0 2009.05.15 Packed.Win32.Krap.q Fortinet 3.117.0.0 2009.05.15 - GData 19 2009.05.15 Gen:Trojan.Heur.P4018E7A7A7 Ikarus T3.1.1.49.0 2009.05.15 Trojan.Win32.Vundo K7AntiVirus 7.10.735 2009.05.14 - Kaspersky 7.0.0.125 2009.05.15 Packed.Win32.Krap.q McAfee 5616 2009.05.15 Vundo.gen.ab McAfee+Artemis 5616 2009.05.15 Vundo.gen.ab McAfee-GW-Edition 6.7.6 2009.05.15 Trojan.Vundo.Gen Microsoft 1.4602 2009.05.15 Trojan:Win32/Vundo.gen!G NOD32 4080 2009.05.15 a variant of Win32/Kryptik.OS Norman 6.01.05 2009.05.14 - nProtect 2009.1.8.0 2009.05.15 - Panda 10.0.0.14 2009.05.15 - PCTools 4.4.2.0 2009.05.15 - Prevx 3.0 2009.05.15 - Rising 21.29.44.00 2009.05.15 Trojan.Win32.VUNDO.dkg Sophos 4.41.0 2009.05.15 Troj/Virtum-Gen Sunbelt 3.2.1858.2 2009.05.15 - Symantec 1.4.4.12 2009.05.15 - TheHacker 6.3.4.1.326 2009.05.15 - TrendMicro 8.950.0.1092 2009.05.15 - VBA32 3.12.10.5 2009.05.15 - ViRobot 2009.5.15.1737 2009.05.15 - VirusBuster 4.6.5.0 2009.05.15 Trojan.Vundo.Gen!Pac.39 weitere Informationen File size: 80896 bytes MD5...: f9f8da09eb04f34c676aec0fe1e5cdca SHA1..: 7b8ceb540f833cde9cc68b35ba5864832bfc12fe SHA256: f453893aeef13892b6cb731dbeda38206d4123932a5011f7e8075ce893c66c94 SHA512: 0beedcf1f65d36cd236d796151bf3fd9fcd2b8489dc218b79998eb7882237f51 2261ebb066cfdad72be22e82a2c58b2dbb5007ee9e0f710704146287e5dba42b ssdeep: 1536:i2emLTQqNcluwjxYWywOTj4eP5wHmCiBGIs62JHSkOGb1:i2eHjx92n4eP5 wHyBDsnSkOGb1 PEiD..: - TrID..: File type identification Win32 Executable Generic (38.5%) Win32 Dynamic Link Library (generic) (34.2%) Clipper DOS Executable (9.1%) Generic Win/DOS Executable (9.0%) DOS Executable Generic (9.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2301c timedatestamp.....: 0x4823b693 (Fri May 09 02:27:31 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1000 0x400 7.80 c0bae8da920ccc06d50bea469e2ca6b7 .rdata 0x2000 0x1000 0x400 7.82 8ff71cb5da3ea5038b0ac22c015f6f7f .data 0x3000 0x1f000 0x10600 8.00 de5ad868d06475de09ef9c0bd33585c7 .reloc 0x22000 0x1000 0x400 2.25 3839d4b5b191bae704e267d27b8c5a0d .text 0x23000 0x3000 0x2600 4.83 cfae2234528abf962d9f794595fc3f6c ( 4 imports ) > KERNEL32.dll: CreateFileW, ExitProcess > WINMM.dll: CloseDriver, mmioWrite > GDI32.dll: CreateBitmap > comdlg32.dll: PrintDlgExW ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - Datei pushow72.dll empfangen 2009.05.15 20:08:34 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 36/40 (90%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 42 und 60 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.05.15 Riskware.AdWare.Win32.AdvertMen.a!IK AhnLab-V3 5.0.0.2 2009.05.15 Win-Trojan/Clicker.136192 AntiVir 7.9.0.168 2009.05.15 ADSPY/AdvertMen.A.19 Antiy-AVL 2.0.3.1 2009.05.15 AdWare/Win32.AdvertMen Authentium 5.1.2.4 2009.05.15 W32/Adclicker.RD Avast 4.8.1335.0 2009.05.15 Win32:Small-UC AVG 8.5.0.336 2009.05.15 Generic.NPM BitDefender 7.2 2009.05.15 Trojan.Clicker.GG CAT-QuickHeal 10.00 2009.05.15 AdWare.AdvertMen.a (Not a Virus) ClamAV 0.94.1 2009.05.15 - Comodo 1157 2009.05.08 Application.Win32.Adware.AdvertMen DrWeb 5.0.0.12182 2009.05.15 Adware.Advert eSafe 7.0.17.0 2009.05.14 - eTrust-Vet 31.6.6507 2009.05.15 Win32/Istbar.CH F-Prot 4.4.4.56 2009.05.15 W32/Adclicker.RD F-Secure 8.0.14470.0 2009.05.15 AdWare.Win32.AdvertMen.a Fortinet 3.117.0.0 2009.05.15 AdClicker.O!tr GData 19 2009.05.15 Trojan.Clicker.GG Ikarus T3.1.1.49.0 2009.05.15 not-a-virus:AdWare.Win32.AdvertMen.a K7AntiVirus 7.10.735 2009.05.14 - Kaspersky 7.0.0.125 2009.05.15 not-a-virus:AdWare.Win32.AdvertMen.a McAfee 5616 2009.05.15 Generic AdClicker.o McAfee+Artemis 5616 2009.05.15 Generic AdClicker.o McAfee-GW-Edition 6.7.6 2009.05.15 Ad-Spyware.AdvertMen.A.19 Microsoft 1.4602 2009.05.15 BrowserModifier:Win32/Istbar.F NOD32 4080 2009.05.15 Win32/Adware.AdvertMen Norman 6.01.05 2009.05.14 W32/Advertmen.A nProtect 2009.1.8.0 2009.05.15 Trojan-Clicker/W32.Agent.136192 Panda 10.0.0.14 2009.05.15 Adware/AdvertMem PCTools 4.4.2.0 2009.05.15 Adware.Advertmen Prevx 3.0 2009.05.15 Low Risk Adware Rising 21.29.44.00 2009.05.15 Trojan.Clicker.Agent.xt Sophos 4.41.0 2009.05.15 Advertismen Sunbelt 3.2.1858.2 2009.05.15 Advertismen Symantec 1.4.4.12 2009.05.15 Adware.AdvertMen TheHacker 6.3.4.1.326 2009.05.15 Adware/AdvertMen.a TrendMicro 8.950.0.1092 2009.05.15 - VBA32 3.12.10.5 2009.05.15 AdWare.Win32.AdvertMen.a ViRobot 2009.5.15.1737 2009.05.15 Adware.AdvertMen VirusBuster 4.6.5.0 2009.05.15 Adware.AdvertMen.A weitere Informationen File size: 136192 bytes MD5...: b3560d5ec47aaebe51c2f60a155dda5b SHA1..: f40882225a81d726015f842f29eb84317108d4b8 SHA256: e1ab6dfdc90eabd80de8197772a4691d0de2f33bb032ee58447d91e9006bda83 SHA512: 0bcc54bdd40b17756b03ca8c3c3a6c675ab40f17ffcab882dec41613226c17d6 7ce813571e36b48d60e228354a91999c2f8b5b617a6143d2356b72f461882252 ssdeep: 3072:2h9mUFYWUyTNVvMHpWuBBI9K2FkE8oVSsJw:c9m/bypVvaWuMsitSsJw PEiD..: Armadillo v1.xx - v2.xx TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x105f8 timedatestamp.....: 0x4450e989 (Thu Apr 27 15:55:53 2006) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x178e6 0x17a00 6.29 856b443fec65c1b16608a87748c5b368 .rdata 0x19000 0x26d7 0x2800 5.34 f12171290525c544b67c0ddd72d6485d .data 0x1c000 0x544c 0x3e00 2.08 0f70924ff4428d4fdb109bd8d2cdda8d .InjectD 0x22000 0x101c 0x1200 0.00 b1e27aa018409de6bfd73f8afb883a65 .rsrc 0x24000 0xe0 0x200 3.62 606548d0991fcc0f01994051edfc037a .reloc 0x25000 0x1a1a 0x1c00 4.87 f353d84d884f00cb31cf8adaa3b1301f ( 10 imports ) > KERNEL32.dll: EnterCriticalSection, GlobalUnlock, GlobalLock, GlobalAlloc, InterlockedDecrement, GetLastError, GetCurrentProcess, lstrlenW, InterlockedIncrement, lstrcmpW, DeleteCriticalSection, FlushInstructionCache, LeaveCriticalSection, InitializeCriticalSection, DisableThreadLibraryCalls, InterlockedExchange, LocalAlloc, FreeLibrary, LCMapStringW, LCMapStringA, SetEndOfFile, LoadLibraryA, GetOEMCP, GetACP, GetCPInfo, IsBadCodePtr, IsBadReadPtr, GetCurrentThreadId, ReadFile, GetStringTypeW, GetStringTypeA, FlushFileBuffers, SetStdHandle, SetUnhandledExceptionFilter, IsBadWritePtr, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetVersionExA, GetEnvironmentVariableA, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, GetModuleHandleA, GetProcAddress, HeapSize, HeapReAlloc, TerminateProcess, ExitProcess, TlsGetValue, TerminateThread, GetModuleFileNameA, lstrlenA, lstrcmpA, GetVolumeInformationA, GetLocaleInfoA, CreateFileA, SetLastError, TlsFree, TlsAlloc, TlsSetValue, HeapAlloc, RaiseException, HeapFree, GetVersion, GetCommandLineA, RtlUnwind, LocalFree, WideCharToMultiByte, WriteFile, MultiByteToWideChar, GetTempPathA, Sleep, DeleteFileA, CreateThread, OpenProcess, SetFilePointer, CloseHandle > USER32.dll: CharUpperBuffA, UnhookWindowsHookEx, SetWindowsHookExW, SetTimer, RegisterClassExW, LoadCursorW, LoadStringA, FindWindowW, GetWindowThreadProcessId, GetWindowTextLengthW, RegisterWindowMessageW, DefWindowProcW, GetWindowLongW, GetWindow, SetWindowLongW, SetWindowTextW, GetWindowTextW, FindWindowExW, GetClassInfoExW, GetWindowRect, MapWindowPoints, KillTimer, MoveWindow, IsWindowVisible, ShowWindow, CreateWindowExW, CallWindowProcW, DestroyWindow, GetDlgItem, SendMessageW, InvalidateRgn, InvalidateRect, SetCapture, ReleaseCapture, CreateAcceleratorTableW, GetDesktopWindow, GetClassNameW, RedrawWindow, SetWindowPos, IsWindow, GetClientRect, BeginPaint, FillRect, EndPaint, GetDC, ReleaseDC, IsChild, GetFocus, SetFocus, GetSysColor, wsprintfW, MessageBoxA, ExitWindowsEx, GetClassNameA, GetParent, CallNextHookEx > ADVAPI32.dll: LookupPrivilegeValueW, OpenProcessToken, RegCloseKey, RegCreateKeyExW, RegSetValueExW, AdjustTokenPrivileges > SHLWAPI.dll: PathFileExistsA > WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle, InternetOpenUrlA, InternetOpenA, InternetGetConnectedState > PSAPI.DLL: GetModuleFileNameExA > OLEPRO32.DLL: - > ole32.dll: CoUninitialize, CoInitialize, OleUninitialize, CreateStreamOnHGlobal, OleInitialize, CLSIDFromProgID, CLSIDFromString, CoCreateInstance, CoTaskMemFree, StringFromCLSID, CoTaskMemAlloc, OleLockRunning > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, - > GDI32.dll: GetStockObject, GetObjectW, CreateSolidBrush, DeleteObject, GetDeviceCaps, CreateCompatibleDC, CreateCompatibleBitmap, SelectObject, BitBlt, DeleteDC ( 1 exports ) UninstallW PDFiD.: - RDS...: NSRL Reference Data Set - ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=b3560d5ec47aaebe51c2f60a155dda5b' target='_blank'>http://www.threatexpert.com/report.aspx?md5=b3560d5ec47aaebe51c2f60a155dda5b</a> <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=4DBBEA4600000B04147A02F7147D4D002559DD1E' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=4DBBEA4600000B04147A02F7147D4D002559DD1E</a> CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b3560d5ec47aaebe51c2f60a155dda5b' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b3560d5ec47aaebe51c2f60a155dda5b</a> Und nun? soll ich jetzt wie du meinst weitermachen, obwohl diese dll dateien nur teilweise mit dem von dir angegebenen dateinamen vorhanden waren? |
|
| Themen zu Vundo.Gen Trojaner wie löschen?? |
| abend, abgesicherte, abgesicherten, abgesicherten modus, andere, antivir, einfach, entweder, funde, hochfährt, löschen, löschen?, lösung, modus, pc normal, problems, sofort, sprache, suche, troja, trojaner, verzweifel, verzweifelt, vundo.gen, weiterhelfen, überhaupt |
Hybrid-Darstellung
