TR/Vundo.Gen

akunin · 13.11.2009, 20:15

Also, ich hab den auch - nachdem ich mich in dem Inuscha-Thread verirrt hatte hier nun mein eigener Thread. Wenn ich den Virus im safe-Modus lösche kommt selbiger beim Starten von Mozilla nach ca. 5min wieder. Ein Scan mit Vundofix bringt auch nichts - kein Fund? Selbst wenn ich die Meldung von Antivir ignoriere findet Vundofix nichts. Panda findet auch nichts - seltsam. Ein Auswertung von Virustotal (gestern aus der Qurantäne hochgeladen) sah gar nicht gut aus. Zuletzt hab ich nochmal mit Antivir gescannt - auch kein Fund. Ich hab jedenfalls keine Lust schon wieder neuaufzusetzen. Zugegeben die Angaben klingen etwas verwirrend aber was ich damit zum Ausdruck bringen will ist das der Virus vorher da war, gelöscht wurde und dann beim Booten wieder auftaucht. Was kann dieser Virus eigentlich anrichten? Für Hilfe wäre ich dankbar. Anbei meine Logfiles von Malware und hijack.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:00:37, on 13.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\powerman.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://help.live.com/help.aspx?mkt=d...query=RegClean
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [powerman] "C:\WINDOWS\System32\powerman.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Mozilla Firefox.lnk = C:\Programme\Mozilla Firefox\firefox.exe
O4 - Global Startup: IEEE 802.11g Wireless LAN Utility.lnk = ?
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...scbase6796.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5184 bytes

MALWAREBYTES

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3161
Windows 5.1.2600 Service Pack 3

13.11.2009 18:54:06
mbam-log-2009-11-13 (18-54-06).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 129956
Laufzeit: 18 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

akunin · 14.11.2009, 00:52

Ich gehe mal davon aus das ich kein Feedback bekommn. Trotzdem hier noch das Combofix-Logfile. Ein kurzes "vergiss es" o.ä. würde reichen. Danke.

ComboFix 09-11-13.06 - Frank 13.11.2009 20:42.1.2 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Frank\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\tdlwsp.dll
c:\windows\system32\wddsddcspsini.dll

Infizierte Kopie von c:\windows\System32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it

wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2009-10-13 bis 2009-11-13 ))))))))))))))))))))))))))))))
.

2009-11-13 18:27 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-11-13 15:51 . 2009-11-13 15:51 -------- d-----w- C:\VundoFix Backups
2009-11-09 16:22 . 2008-10-15 10:49 53618 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\CONFIG\AVWIN.INIaebb.dll
2009-11-06 12:48 . 2009-11-06 12:48 152576 ----a-w- c:\dokumente und einstellungen\Frank\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-10-25 17:33 . 2009-08-12 15:21 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-10-25 17:33 . 2009-08-12 15:21 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-10-25 17:33 . 2009-08-12 15:21 -------- d--h--r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-10-25 17:33 . 2009-08-12 15:21 -------- d-----w- c:\dokumente und einstellungen\Administrator\Favoriten
2009-10-25 17:33 . 2009-08-12 15:21 -------- d-----r- c:\dokumente und einstellungen\Administrator\Startmenü
2009-10-25 17:33 . 2009-08-12 14:26 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Vorlagen

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-13 18:31 . 2009-08-19 14:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-11-13 14:40 . 2009-08-19 14:25 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-11-06 12:49 . 2009-08-12 15:33 -------- d-----w- c:\programme\Java
2009-10-26 14:06 . 2009-10-26 14:06 -------- d-----w- c:\programme\Avira
2009-10-26 14:06 . 2009-10-26 14:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-10-25 18:13 . 2003-04-02 12:00 80306 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 18:13 . 2003-04-02 12:00 449044 ----a-w- c:\windows\system32\perfh007.dat
2009-10-11 03:17 . 2009-08-12 15:34 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-10-09 14:38 . 2009-10-09 14:38 -------- d-----w- c:\programme\eRightSoft
2009-10-08 15:12 . 2009-10-08 14:58 -------- d-----w- c:\programme\Aimersoft
2009-10-08 14:58 . 2009-09-16 10:16 -------- d-----w- c:\dokumente und einstellungen\Frank\Anwendungsdaten\GetRightToGo
2009-10-08 13:52 . 2009-10-08 13:52 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live
2009-10-08 13:52 . 2009-08-31 16:30 13104 ----a-w- c:\dokumente und einstellungen\Frank\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-07 16:18 . 2009-10-07 16:17 -------- d-----w- c:\programme\XMedia Recode
2009-10-05 12:24 . 2009-10-05 12:22 -------- d-----w- c:\programme\RegCleaner
2009-10-03 02:04 . 2009-08-12 14:29 76487 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-10-01 16:38 . 2009-09-23 17:14 -------- d-----w- c:\programme\FLV Player
2009-10-01 14:18 . 2009-10-01 14:18 177024 ----a-w- c:\dokumente und einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\nw20y2dt.default\FlashGot.exe
2009-09-30 20:24 . 2009-09-30 20:24 -------- d-----w- c:\programme\MSBuild
2009-09-30 20:24 . 2009-09-30 20:24 -------- d-----w- c:\programme\Reference Assemblies
2009-09-30 20:20 . 2009-09-30 20:20 -------- d-----w- c:\programme\MSXML 6.0
2009-09-30 20:00 . 2009-09-30 20:00 29184 ----a-r- c:\dokumente und einstellungen\Frank\Anwendungsdaten\Microsoft\Installer\{21AE04E8-EBF6-40DB-9AA9-B7A80C5D057D}\Icon21AE04E8.exe
2009-09-30 20:00 . 2009-09-30 20:00 -------- d-----w- c:\programme\mkv2vob
2009-09-30 20:00 . 2009-09-30 20:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-04 21:03 . 2003-04-02 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-26 08:00 . 2003-04-02 12:00 247326 ----a-w- c:\windows\system32\strmdll.dll
2006-05-03 09:06 . 2009-10-09 14:38 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-10-09 14:38 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-10-09 14:38 216064 --sh--r- c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"NVIEW"="nview.dll" - c:\windows\system32\nview.dll [2003-12-12 856133]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"powerman"="c:\windows\System32\powerman.exe" [2003-12-23 126976]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2004-01-19 57344]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2003-05-12 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2003-10-03 40960]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2003-06-25 204800]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2003-09-12 65536]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-11-20 98304]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-11-20 499712]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-12-12 4730880]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-11-13 62464]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2003-12-12 323584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Frank\Startmen\Programme\Autostart\
Mozilla Firefox.lnk - c:\programme\Mozilla Firefox\firefox.exe [2009-9-27 908248]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
IEEE 802.11g Wireless LAN Utility.lnk - c:\programme\IEEE 802.11g Wireless LAN Utility\WLANUTL.exe [2009-8-12 380928]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [13.11.2009 19:27 28552]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.10.2009 15:06 108289]
S1 mailKmd;mailKmd; [x]
S3 flash;flash;c:\windows\system32\drivers\flash.sys [12.08.2009 16:05 7133]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - MBR
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://help.live.com/help.aspx?mkt=de-de&project=WL_Safety&format=b1&querytype=keyword&query=RegClean
FF - ProfilePath - c:\dokumente und einstellungen\Frank\Anwendungsdaten\Mozilla\Firefox\Profiles\nw20y2dt.default\
FF - prefs.js: browser.startup.homepage - hd-area.net
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-11-13 20:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = c:\programme\Launch Manager\CtrlVol.exe?k??w??????@?`??????w???w???????w???w;??w?r@????? ???????????????d???????????????????????4????????$?w???????????sI??s???s@????????????a?wx??st???????B-?s???????????????s???s?????n?w????Y??sD;??D??s??@??4@?P;?????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-11-13 20:49
ComboFix-quarantined-files.txt 2009-11-13 19:49

Vor Suchlauf: 7 Verzeichnis(se), 15.974.707.200 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 16.147.996.672 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 7A1D57E229AEE2C9CD524481024421ED

akunin · 16.11.2009, 14:06

Den Thread kann man schliessen - ich hab meinen PC neu aufgesetzt. Das Feedback hier finde ich allerdings mehr als dürftig. Nach 4 Tagen kein Wort? Na ja.

TR/Vundo.Gen

Plagegeister aller Art und deren Bekämpfung: TR/Vundo.Gen

TR/Vundo.Gen

TR/Vundo.Gen

TR/Vundo.Gen

Ähnliche Themen: TR/Vundo.Gen

16.11.2009, 14:06	#3
akunin	TR/Vundo.Gen Den Thread kann man schliessen - ich hab meinen PC neu aufgesetzt. Das Feedback hier finde ich allerdings mehr als dürftig. Nach 4 Tagen kein Wort? Na ja. __________________