TR/Vundo.gen
 

Hallo ich hoffe mir kann jemand helfen mein system zu säubern.
1. nach auffälligkeiten habe ich windows von der cd repariert. dabei konnten einige dateien nicht installiert werden.
2. nach der reparatur hat antivir den trojaner TR/Vundo.Gen angezeigt, der nicht gelöscht werden konnte.
3. VundoFix hat dateien gefunden und erfolgreich gelöscht.

nur glaube ich, dass mein system immer noch verseucht ist. Antivir findet keine weiteren viren, aber der guard zeigt ab und zu wieder den TR/Vundo.Gen an. ist das system jetzt sauber oder kann ich noch irgendwas tun?
hier das logfile von hijackthis (nachvundofix). vielen danke für die hilfe.



Logfile of HijackThis v1.99.1
Scan saved at 13:29:21, on 29.04.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\WIBUKEY\H2O\CXWibu.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.00\SiSWLSvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\pruef\pruef.com

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E77B079-C774-4BD3-9387-0F677E2A28FB} - (no file)
O2 - BHO: (no name) - {4560A83C-F98F-45D7-9EDC-683B7C6AB135} - C:\WINDOWS\system32\vga32.dll
O2 - BHO: (no name) - {4D2BEB3D-4FED-44FE-AC68-0CC0616329DF} - (no file)
O2 - BHO: (no name) - {51849173-74B7-457A-83DE-1E8E187B0175} - (no file)
O2 - BHO: (no name) - {529F7FA9-D281-4F5A-92BE-7A6C6D1BFED0} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {570FA7B4-154C-452E-9C48-A664FD2D91D9} - (no file)
O2 - BHO: (no name) - {6148028B-D532-4417-8C0B-5A4A0B745393} - (no file)
O2 - BHO: (no name) - {760C96C7-7F20-44DF-87A1-D5D8AA04993E} - (no file)
O2 - BHO: (no name) - {7AFEAA4B-C512-4FC3-9398-9AE6E190F023} - (no file)
O2 - BHO: (no name) - {DC9395DD-B6C6-4121-90B7-72EACE399B4F} - C:\WINDOWS\system32\vtsqn.dll (file missing)
O2 - BHO: (no name) - {E4A01EF8-AD2D-4F83-AA5D-8DF048E738E4} - (no file)
O2 - BHO: (no name) - {F01DE8B9-DBC1-4830-BBB4-5380A5D686F8} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [H2OWIBU] C:\Programme\WIBUKEY\H2O\CXWibu.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: ljjhgdd - C:\WINDOWS\
O20 - Winlogon Notify: vtsqn - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.00\SiSWLSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Klar - 534 Threads zum Thema Vundo hier über Board-Suche und über Google
Info:http://www.trojaner-board.de/33306-i...p2-sophos.html
Abhilfe:http://www.trojaner-board.de/12154-a...sicherung.html

oh, sp1. das ist seltsam, denn das sp2 war auf jeden fall installiert. ansonsten habe ich zu dem thema viel gelesen, nur war mir so maches, was über vundofix hinaus ging einfach zu hoch. wie gesagt, bei der windows reparatur habe ich eine sp1 cd benutzt. dabei muss wohl das sp2 deinstalliert worden sein.

Und das war dein "Todesurteil";)

heisst das ich muss windows neu installieren? sp2 ist jetzt wieder drauf und das ganze macht einen stabielen eindruck. kann ich irgendwie sicher gehen, dass alle spuren des trojaners beseitigt sind?

Du musst das machen was rene-gad gepostet hat ;) dann sich auch mit Sicherheit alle Spuren weg.

also windows neu installieren? gibt es noch eine möglichkeit über hijackthis das system zu reinigen?

Hallo, kann mir jemand helfen das log file zu interpretieren?

im augenblick nervt mich am meisten, dass meine task leiste nach dem hochfahren nicht angezeigt wird. nach dem 3. oder 4. mal geht es dann. keine ahnung ob das eine auswirkung des Vundo ist.
hat da jemand tips oder eine anleistung, wie ich die einträge selbst durchgehen kann?
vielen dank.

Automatische Auswertung: HijackThis Logfileauswertung

danke, das hat mir schonmal geholfen. jetzt macht mir nur dieser eintrag sorgen.

O2 - BHO: (no name) - {4560A83C-F98F-45D7-9EDC-683B7C6AB135} - C:\WINDOWS\system32\vga32.dll

den kann ich auch nicht prüfen, bzw. weiss nicht wie das geht. und danke für die gedult.

Lad die Datei mal bei http://www.virustotal.com hoch und poste das vollständige Ergebnis.