![]() |
bitte um Hilfe mit vundo Hallo! Bin vollends überfordert mit VUNDO! :( Ich bitte freundlichst um Unterstützung. Vielen Dank im voraus. Hier meine Hijack This und e-scan logfiles (im abgesicherten Modus) HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:37:51, on 9.10.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\System32\wisptis.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [USBDetector] C:\USBStorage\USBDetector.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [{6D-DA-AE-E0-ZN}] C:\windows\system32\kpdsregs.exe OLI001 O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\System32\mwinqlds.exe OLI001 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: MA111 Configuration Utility.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126087537906 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.5.0_01) - O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.5.0_02) - O17 - HKLM\System\CCS\Services\Tcpip\..\{C5DFE036-D7AC-4080-904D-DE058F903431}: NameServer = 195.34.133.21,195.34.133.22 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BufferZone Service (BufferZoneSvc) - Unknown owner - C:\Programme\BufferZone\ClntSvc.exe (file missing) O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\obmevpou.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Modexrnabh - Sun Microsystems, Inc. - C:\WINDOWS\System32\javaws.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 5685 bytes e - Scan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.4 Sprache: German Virus-Datenbank Datum: 10/8/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "coolwebsearch Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "BonziBuddy Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with w32/rbot-ank Email-Flooder ({19e28afc-eae3-4ce5-ac83-2407b42f57c9})! Action taken: Keine Aktion vorgenommen. System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: Keine Aktion vorgenommen. System found infected with w32/rbot-ank Email-Flooder ({19e28afc-eae3-4ce5-ac83-2407b42f57c9})! Action taken: Keine Aktion vorgenommen. System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Aktion vorgenommen. System found infected with zlob Trojan-Downloader (dwdsregt.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\Temp\startdrv.exe infiziert von "Trojan.Win32.Inject.gh" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\System32\drivers\core.sys infiziert von "Rootkit.Win32.Agent.eq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\System32\ftpupd.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\System32\msf.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll infiziert von "Trojan-PSW.Win32.Sinowal.dt" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-1914908233-93481446-3035942738-1006\Dc8.bad infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\srfmhmqk.exe infiziert von "Trojan.Win32.Inject.gh" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{4B3C2B70-D81F-4475-A29F-AA7CF176A979}\RP4\A0001161.sys infiziert von "Trojan-Downloader.Win32.Agent.acl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{4B3C2B70-D81F-4475-A29F-AA7CF176A979}\RP4\A0001169.sys//PE_Patch infiziert von "Rootkit.Win32.Agent.jp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\drivers\core.sys infiziert von "Rootkit.Win32.Agent.eq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\ftpupd.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\msf.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\Temp\startdrv.exe infiziert von "Trojan.Win32.Inject.gh" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\WINDOWS\System32\vtsqo.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.wi". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\jkklkkk.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\System32\vtsqo.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.wi". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\jkklkkk.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\jkklkkk.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\System32\vtsqo.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.wi". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\windows\system32\kpdsregs.exe markiert als "not-a-virus:AdWare.Win32.ZenoSearch.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\System32\dwdsregt.exe markiert als "not-a-virus:AdWare.Win32.ZenoSearch.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\System32\jkklkkk.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\System32\kpdsregs.exe markiert als "not-a-virus:AdWare.Win32.ZenoSearch.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\System32\ravtmskii.nls markiert als "not-a-virus:AdWare.Win32.VB.y". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\System32\vtsqo.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.wi". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DivX\DivXPro502GAINBundle.exe//Gain_Trickler.exe markiert als "not-a-virus:AdWare.Win32.Gator.3202". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\wolf\Lokale Einstellungen\Temp\bundle.exe markiert als "not-a-virus:AdWare.Win32.ZenoSearch.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\DivX\DivX Pro Codec\Gain_Trickler.exe markiert als "not-a-virus:AdWare.Win32.Gator.3202". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\Mozilla Firefox\plugins\NPMySrWB.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\RECYCLER\S-1-5-21-1914908233-93481446-3035942738-1006\Dc14.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.wi". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\RECYCLER\S-1-5-21-1914908233-93481446-3035942738-1006\Dc7.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.wi". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\RECYCLER\S-1-5-21-1914908233-93481446-3035942738-1006\Dc9.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\dwdsregt.exe markiert als "not-a-virus:AdWare.Win32.ZenoSearch.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\jkklkkk.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\kpdsregs.exe markiert als "not-a-virus:AdWare.Win32.ZenoSearch.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\ravtmskii.nls markiert als "not-a-virus:AdWare.Win32.VB.y". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\vtsqo.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.wi". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\gpinstall.exe Offending file found: C:\WINDOWS\System32\dwdsregt.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sbsoft !!! Offending Key found: HKLM\Software\kazaa !!! Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKCR\magnet !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Executable Command Found in G\Shell\AutoRun\command: G:\setup.exe Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2ECFPLKJ\fi_nt86[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\MUSICMATCH\MUSICMATCH Update\MMJB\TDM\TDMInstall.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 155576 Gefundene Viren: 48 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 272 Dauer des Scans bisher: 01:52:55 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 1:12:30,89 Batchende: 1:12:34,25 |
Hallo Zitat:
Zitat:
Zitat:
Bei so schweren Infektionen bleibt nur, dass du dieser Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung! folgst. Besorge dir das Servicepack 2 und ändere bitte unbedingt nach der Neuinstallation alle deine Pass- und Kennwörter. MFG |
Bin der Anleitung gefolgt, jetzt ist wieder alles in Ordnung!! Vielen Dank für deine schnelle und hilfreiche Antwort!!! :daumenhoc:aplaus: |
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board