Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Tr /vundo.gen -->Logfile bitte auswerten (https://www.trojaner-board.de/37583-tr-vundo-gen-logfile-bitte-auswerten.html)

cassiopeia8 02.04.2007 08:08

Tr /vundo.gen -->Logfile bitte auswerten
 
Hallo,

Ich habe folgendes Problem: Der AntiVirGuard meldet regelmäßig einen Trojanerbefall (vundo.gen) in den Dateien C:\Windows\system32\yayyvtr und iiijk. Ich bestätige "löschen" und kann mit dem System auch weiterarbeiten. Oftmals aber deutlich langsamer.

Das scheint ja keine Eintagsfliege zu sein. Ich habe die Datei (yayyvtr) durch einen online-viren-such-programm geschickt und mit diesem Ergebnis:

Datei: yayyvtr.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: VIRTUMONDE

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender MemScan:Trojan.Vundo.AJ gefunden
ClamAV Trojan.Packed-7 gefunden
Dr.Web Trojan.Virtumod gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Adware.Vundo.Gen!Pac.8 gefunden
VBA32 Keine Viren gefunden



Ich bin kein Experte, aber ich befürchte das läuft auf ein Neuaufsetzten hinaus. Hier nun mein LogFile:




Logfile of HijackThis v1.99.1
Scan saved at 08:32:58, on 02.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF\FreePDFA.exe
D:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
D:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Eraser\eraser.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\devldr32.exe
D:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Opera\Opera.exe
D:\Programme\HyJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {68218620-3D65-43F6-AD47-D38D84B5412A} - C:\WINDOWS\system32\yayyvtr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [SpywareTerminator] "D:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [Eraser] D:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - d:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - d:\Programme\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: yayyvtr - C:\WINDOWS\SYSTEM32\yayyvtr.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - D:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe



:confused:

Jetzt seid Ihr gefragt ;-).

Gruß,

Cassiopeia

nochdigger 02.04.2007 09:19

Hallo

deaktiviere bitte zuerst deinen Guard von Antivir (rechtsklick auf den roten Regenschirm) sowie den von Spyware Terminator und den Teatimer von Spybot S&D.

Anschließend deaktiviere bitte die Systemwiederherstellung und lade dir Vundofix

* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

Die Systemwiederherstellung kann wieder aktiviert werden ebenso die abgestellten Wächter.

Erstelle ein neues Hijackthis log, benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe und poste es hierher.

MFG

cassiopeia8 02.04.2007 11:41

geschrieben, getan :)

Logfile of HijackThis v1.99.1
Scan saved at 12:36:37, on 02.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF\FreePDFA.exe
D:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
D:\Programme\ZoneAlarm\zlclient.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Eraser\eraser.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\devldr32.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
d:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\HyJack\abc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {68218620-3D65-43F6-AD47-D38D84B5412A} - C:\WINDOWS\system32\yayyvtr.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [SpywareTerminator] "D:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "d:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [Eraser] D:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - d:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - d:\Programme\VisualRoute\vrie.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - d:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - D:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe



Was noch passiert ist:
-Neus Proggy: d:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
-2 Dateien durch den VundoFix gelöscht
-scvhost loggt sich permanent ins Netzwerk ein mit 4-5 Anwenungen. Vielleicht auch Normal?
-JavaEV 6.0 wieder komplett desinstalliert (nachdem ich gelesen habe, dass Zusammenhänge zischen Trojaner und Java bestehen)

btw....Danke für die schnelle Antwort!

cassiopeia8 02.04.2007 11:45

"svchost.exe"

Datei: svchost.exe
Auslastung: 0% 100%

Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

nochdigger 02.04.2007 20:55

Hallo

Zitat:

-scvhost loggt sich permanent ins Netzwerk ein mit 4-5 Anwenungen. Vielleicht auch Normal?
:eek: hast du mir einen Schreck eingejagt ich dachte schon...
zum Glück hast du dich verschrieben (cv und vc) und ja die svchost.exe kann öfter vorhanden sein und sollte so wie es ist i.O. sein.

Zitat:

Neus Proggy: d:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
viele Programme helfen nicht immer viel im Gegenteil meist behindern sie sich bei der Arbeit.
Du hast bereits ein Antispywareprogramm installiert eins würd ich von der Platte schmeißen (ich hätte AVG behalten) behalte aber Spybot S&D als zusatztool.

Starte Hijackthis mit der Option - do a system scan only - und setze ein häkchen vor diesen Eintrag :

O2 - BHO: (no name) - {68218620-3D65-43F6-AD47-D38D84B5412A} - C:\WINDOWS\system32\yayyvtr.dll (file missing)

und diese hier kannst du gleich mitbehandeln

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

klicke nun auf - fix checked - und beende Hijackthis.
Starte dein System neu und kontrolliere mit Hijackthis bitte ob die Einträge nun verschwunden sind.
Zum Abschluß würde ich Antivir updaten und einen Fullscan machen am besten im abgesicherten Modus (beim start F8 drücken).

MFG

-EDIT- du hast gut vorgearbeitet daumenhoch

Rene-gad 02.04.2007 21:02

@ll
wie es ausschaut, möge man ein Unterforum extra für Vundo -Opfer einrichten.:koch:
!!!Bitte Board-Suche benutzen!!!

cassiopeia8 03.04.2007 19:26

Zitat:

viele Programme helfen nicht immer viel im Gegenteil meist behindern sie sich bei der Arbeit.
Du hast bereits ein Antispywareprogramm installiert eins würd ich von der Platte schmeißen (ich hätte AVG behalten) behalte aber Spybot S&D als zusatztool.
Guter Tipp. Hatte ich bisher nur über Anti-Virenprogramme gehört. Dann behalte ich Spybot und AVG. Letzteres ist leider nur eine Testversion. Ich würde es gerne als Main-Spyware benutzten. Vielleicht hast Du ja ein Idee (-->PN).

Hijackthis habe ich (erfogreich) gefixed. Paradoxerweise war der Eintrag:

Zitat:

O2 - BHO: (no name) - {68218620-3D65-43F6-AD47-D38D84B5412A} - C:\WINDOWS\system32\yayyvtr.dll (file missing)
(auch vor dem Fixen) gar nicht mehr vorhanden. Kann sein das es bei den vielen AntiViren, SpywareDetects und Ähnlichem schon gelöscht wurde?.

So dele....der AntiVir-Scan verlief ohne Befund. Der Vollständigkeit halber Logfile Anbei.



Das System läuft stabil, die MalwareWarnmeldung erscheint nicht mehr! Das Einzige was ich noch gefunden haben (mittlerweile habe ich mich noch etwas tiefer eingelesen) sind folgende Einträge:

Zitat:

C:\Programme\ProcessGuard\dcsuserprot.exe
C:\Programme\ProcessGuard\pgaccount.exe
O4 - HKLM\..\Run: [!1_pgaccount] "C:\Programme\ProcessGuard\pgaccount.exe"
O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - DiamondCS - C:\Programme\ProcessGuard\dcsuserprot.exe
Das Programm vom Software Hersteller DiamondCS. Eben nur ein Proggy. Klar, aber das ist schon lange Deinstalliert. Im Ordner befinden sich auch nur noch die beiden o.g. Dateien. Ich kann werder die Dateien noch den Autostarteintrag über msconfig löschen. Das ist aber auch eher das berühmte "i-Tüpfelchen".

Du hast mir und meinem Rechner sehr geholfen.

Zitat:

-EDIT- du hast gut vorgearbeitet daumenhoch
Das kann ich nur zurückgeben, wer ein so gut sortiertes Forum bzw Board führt und mitwirkt hat es verdient auch gelobt zu werden!
:daumenhoc


Hier nochmal der aktuellen HJT LogFile:


Logfile of HijackThis v1.99.1
Scan saved at 20:07:22, on 03.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
d:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\ProcessGuard\dcsuserprot.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\FreePDF\FreePDFA.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\ProcessGuard\pgaccount.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Opera\Opera.exe
D:\Programme\HyJack\abc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!1_pgaccount] "C:\Programme\ProcessGuard\pgaccount.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "D:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - d:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - d:\Programme\VisualRoute\vrie.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - d:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - DiamondCS - C:\Programme\ProcessGuard\dcsuserprot.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe



BG,

Cassiopeia

nochdigger 03.04.2007 21:47

Hallo

Sehr schön zu hören, dass der Rechner wieder Rund läuft.

Zitat:

Ich würde es gerne als Main-Spyware benutzten. Vielleicht hast Du ja ein Idee (-->PN).
no comment:rolleyes:

Zitat:

Das Programm vom Software Hersteller DiamondCS. Eben nur ein Proggy. Klar, aber das ist schon lange Deinstalliert. Im Ordner befinden sich auch nur noch die beiden o.g. Dateien. Ich kann werder die Dateien noch den Autostarteintrag über msconfig löschen.
eventuell nochmal installieren und anschließend sauber deinstallieren über Start -> Einstellungen -> Systemsteuerung -> Software

MFG

cassiopeia8 04.04.2007 09:21

Hallo Nochdigger,

Zitat:

Zitat von nochdigger (Beitrag 261140)
eventuell nochmal installieren und anschließend sauber deinstallieren über Start -> Einstellungen -> Systemsteuerung -> Software

Das habe ich auch schon versucht... aber passt schon. Wie gesagt, riesiges Dankeschön für den Support!
Ihr trinkt doch Jever, oder? Also :party:





Für alle die mitlesen und das Selbe oder ähnliche Probleme haben, Auf dieser Seite gibt es für den IT Anfänger alles was das Herz das begehrt (Antiviren, Spybot, Firerewall, Nettes XP-Tweak u.v.m., um den Rechner "sicher" zu machen! Inkl. Anleitungen...xxx




Wahrscheinlich schon zig mal gepostet, aber wenn es auch nur Einer liest, hat es sich schon gelohnt ;)

@Rene-Gad: Ihr seid der Link Nr.1 in der Google Suche nach "Vundo". Ein Subforum mit Anleitung unter FAQ würde Euch doch nur entlasten :)

Rene-gad 04.04.2007 10:51

@cassiopeia8
Zitat:

Auf dieser Seite gibt es für den IT Anfänger alles was das Herz das begehrt
Diese Seite ist mit AdWare gespikt und inhaltlich total irreführend.:teufel2:

cassiopeia8 04.04.2007 20:44

Tr /vundo.gen -->Logfile bitte auswerten (Erledigt!)
 
Zitat:

Diese Seite ist mit AdWare gespikt und inhaltlich total irreführend.
Mir hat sie gut geholfen. Aber gut, Du bist vom Fach ;-). Poste doch mal eine Alternative!


Hier ist meine xxx


MfG

Rene-gad 04.04.2007 21:10

Zitat:

Zitat von cassiopeia8 (Beitrag 261241)
Poste doch mal eine Alternative!

Ich mache absolut bewusst keine Werbung für dieses oder jenes Programm.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19