TR/Vundo.Gen in C:\WINDOWS\System32\efeed.dll
 

Hallo liebes Tojaner-Board Team!

Ich habe folgendes nervenzermarternde Viren-Problem:

AntiVir findet immer wieder den Virus TR/Vundo.Gen in C:\WINDOWS\System32\efeed.dll, kann ihn aber laut Screenmeldung nur nach Neustart löschen. Habe schon zig-mal neugestartet, anschließend taucht der selbe Virus hartnäckig wieder auf.

Nach Suche im Internet bin ich auf die Anleitungen zur Entfernung von Trojanern mittels HighjackThis und eScan am Trojaner-Board gestoßen und hoffe nun darauf, daß mir auf diesem Wege jemand helfen kann, den Virus loszuwerden.

Habe wie in der Anleitung zu HighjackThis beschrieben ein hiighjackthis.log erstellt und poste den Inhalt im Folgenden zur Auswertung:

Logfile of HijackThis v1.99.1
Scan saved at 17:44:00, on 10.10.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Drag'n Drop CD\BinFiles\DragDrop.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\{0863140A-0890-1031-0109-030603020031}\Update.exe
C:\WINDOWS\System32\qicsamm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\dfndrff_e21.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\HighjackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &VSToolBar - {821F87FF-8245-4972-9E28-732E92EC2F51} - C:\Programme\VSToolbar\VSToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Programme\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [Windows Media Player] mcafe32.exe
O4 - HKLM\..\Run: [Windows Registry Express Loader] regexpress.exe
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
O4 - HKLM\..\Run: [secures23] mssecure.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e21.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_16.exe
O4 - HKLM\..\Run: [Windows Help 32] fynzzizpxg.exe
O4 - HKLM\..\Run: [wrclib] rundll32.exe C:\WINDOWS\System32\wrclib.dll,start
O4 - HKLM\..\Run: [Managments Service] qicsamm.exe
O4 - HKLM\..\RunServices: [Windows Media Player] mcafe32.exe
O4 - HKLM\..\RunServices: [Windows Registry Express Loader] regexpress.exe
O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O4 - HKLM\..\RunServices: [secures23] mssecure.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [Windows Help 32] fynzzizpxg.exe
O4 - HKLM\..\RunServices: [Managments Service] qicsamm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Media Player] mcafe32.exe
O4 - HKCU\..\Run: [Windows Registry Express Loader] regexpress.exe
O4 - HKCU\..\Run: [Window Monitor] winmon32.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Windows Help 32] fynzzizpxg.exe
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.exe"
O4 - HKCU\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKCU\..\RunServices: [MS Java for Windows XP & NT] javanet.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB06710A-6D72-441E-8C67-DD5C72B9BDB5}: NameServer = 212.33.32.160,212.33.55.5
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Registry Express Loader - Unknown owner - C:\WINDOWS\System32\regexpress.exe" -netsvcs (file missing)


Ende des highjackthis.log-files

Bitte um Auswertung und Erklärung, welche Dateien ich nun mithilfe von HighjackThis löschen soll. Bin für jede Hilfe äußerst dankbar!!

Liebe Grüße!

Wolfdolf

PS: Muß ich DANACH auch noch einen Scan mit eScan machen? (Für weitere versteckte Malware?) Hilft es Euch, wenn ich den Scan gleich mache und hier ebenfalls poste?

Hallo,
den EScan kannst du machen....wenn du Zeit im Überfluß hast oder unbedingt sehen willst, was auf einem völlig ungepatchten System sich so alles rumtreibt....
Wenn dir deine Zeit kostbarer ist,solltest du eine Neuinstallation ins Auge fassen.Da sind einige Dateien bei dir,da wird mir gruselig...:heulen:
Was man so alles in den Autostart lassen kann,wundert mich immer wieder....:D
O4-Einträge sind die Bezeichnung in Hijackthis, für die Autostarteinträge...
Irrlicht

Liebes Irrlicht!

Danke für Deine aufmunteernden Worte ...;)

Im Ernst: Gibts Für mein System eine andere Rettung als die Neuinstallation? Wäre mir doch lieber, wenn ich das vermeiden könnte!!

Irgendwelche Tipps?

Wäre wie gesagt dankbar für alles, habe vom Innenleben von Windows keine Ahnung und kann mit dem highjackthis.log überhaupt nichts anfangen!!

Wolfdolf

Hallo.

meinem Vorredner (Hey irrlicht ;) ) völlig zustimm!!! :aplaus:

Diese Schädlinge sind in deinem System:

W32/Rbot-APC
W32/Rbot-XG
W32/Rbot-OQ
Troj/Borobot-B
W32/Rbot-CTH
W32/Vanebot-A

und noch viele viele MEHR...

UNVERZÜGLICH das System vom Internet trennen und die Neuinstallation beginnen! Bei den extrem krassen (dieses Wort nutze ich NIE!) Schädlingen gibt es keinen anderen WEG!!!
Das ist ein ganzer ZOO von Trojanern, da kriegt man ja ANGST!

Dieses Log sollte man mal speichern, und allen Usern zeigen die sich strikt weigern das Service Pack 2 & Updates aufzuspielen :teufel2:

GRUß
Sunny

Danke auch Dir Sunny für Deine Analyse, wird mir wohl doch nichts Anderes als eine Neuinstalation übrigbleiben.

Habe nun allerdings gerade ein neues und sehr verzwicktes Problem:

Um den eScan ornungsgemäß durchzuführen habe ich die automatische Systemherstellung für alle Laufwerke deaktiviert und wollte im abgesicherten Modus starten. Dies habe ich laut einer anderen Anleitung (Link von der eScan-Anleitung) über START > Ausführen ... und dort die Eingabe "msconfig" erreicht; im dann erscheinenden Fenster habe ich im Reiter BOOT.INI die Option /SAFEBOOT aktiviert und dann neu gestartet.

Soweit so gut. Leider bleibt der Screen im abgesicherten Modus nach Eingabe des Administrator-Paßworts völlig leer, bzw. schwarz, nur der Schriftzug "Abgesicherter Modus" in den Ecken und der Mauspfeil sind sichtbar. Der Computer reagiert auf nichts als auf "Control-Alt-Delete", allerdings bringt auch ein Neustart mit F8 nichts, denn obwohl ich den normalen Windows-Start anwähle startet der Rechner trotzdem im abgesicherten Modus! :nixda: (Wohl weil er zuerst beim Start die geänderte "msconfig" ausliest und danach erst recht wieder abgesichert startet?)

Was kann man da machen? Ich möchte wenigstens noch meine persönlichen Daten retten, bevor ich mich ans Neuaufsetzen mache!!

Habt Ihr eine Idee - bitte!

Liebe Grüße!

Wolfdolf

Ich denke mal das der abgesicherte Modus "stillgelegt" ist, könnte auch mit deinem extremen Schädlingsbefall zutun haben.

Startet der Rechner denn auch nicht im Normalmodus?
Wenn doch, dann sichere deine Daten doch da?!
Mach nur nicht den Fehler und sichere ausführbare Dateien/Programme.
Nimm nur das nötigste "mit" ... ;)

Gruß
Sunny

Besorg dir ne Knoppix- oder BartPE-CD. Davon den Rechner booten und persönliche Daten sichern, sichere nur Dokumente aber keine ausführbaren Dateien (Programme, Spiele etc.) von diese jetzigen Zustand, denn diese sind nicht vertrauenswürdig.

Lieber Sunny!

Das problem ist, daß ich gar nicht mehr in den Normalmodus komme, um so zu starten, eben auch wennn ich das extra im Startkonfigurationsmenü nach F8-Eingabe beim Hochfahren auswähle; automatisch wird im abgesicherten Modus gestartet. Und genauso, wenn ich einfach nur so neustarte. Ich glaube, daß das eben an meiner oben beschriebenen Vorgangsweise beim ersten Mal Starten im abgesicherten Modus über den Befehl "msconfig" und die Änderung der boot.ini liegt.

Gibt es da keine andere Möglichkeit an die daten zu kommen, als eine über CD zu starten? Wenn nicht ja, wie komme ich an so eine Start-CD? Kann man sich das irgendwo im Internet besorgen?

Besten Dank im voraus,

Wolfdolf

Versuch es mal auf dieser Seite -> BartPE Download

Brenn dir die CD und sichere danach deine Daten!

Zusätzlich solltest du dich hier mal einlesen -> Anleitung Richtige Neuinstallation

Gruß
Sunny

Vielen Dank, Sunny und ihr anderen, werd das mit der BartPE-CD jetzt einmal probieren!

Den Link zum System-Neu-Aufsetzen hab ich mir schon angeschaut, ist sehr hilfreich.:aplaus:

Liebe Grüße!

Wolfdolf

Wenn du noch Probleme hast oder eventuell kriegst, schau einfach mal vorbei... ;)