| Müllllleimer | 11.08.2008 14:38 |
Virus?
Hallo !
Ich habe mir vor Kurzem Virtumonde und einen anderen Virus eingefangen. Virtumonde habe ich gleich mit Spybot S&D und VundoFix (und TweakPower) auch wieder entfernt, der/die anderen Viren haben mir dann aber ntdll.dll zerschossen. Das heißt Firefox ging nicht mehr und notepad ist immer abgestürzt und fast kein Programm konnte mehr Dateien speichern. Ich habe mir dann Avira Anrivir Rootkit Detection und Ad-Aware geholt, welche aber nichts gefunden haben. sfc.exe hat aber gemeldet, dass die Datei (ntdll.dll) beschädigt ist, konnte sie aber nicht reparieren. Mit BartPE habe ich am Ende ntdll.dll repariert. Jetzt läuft wieder alles, aber ab zu kommen Meldungen dass rundll eine DLL nicht finden konnte (die verlorenen DLLs sollen nach Internetforen Viren seien) und ich habe mir über dieses Forum MicroWorld AntiVirus und Malwarebytes Anti-Malware runtergeladen. MVAV funktionierte nicht, doch Malwarebytes Anti-Malware hat alles Mögliche gefunden.
Hier noch ein paar Informationen zu meinem System:
Vista SP1 (Home Premium, OEM), AMD Phenom 9500, 3GB RAM, nVidia 8600
AUßERDEM REINER FIREFOX-3-BENUTZER, die Viren sind über den IE7 (jetzt IE8 Beta) gekommen
Und das BHO "yaywxYRl.dll" habe ich gerade entfernt !
Ach. und CCleaner benutz ich ständig !
Zuerst der VundoFix Export: Code:
C:\Windows\System32\bbbcer.dll
C:\Windows\System32\enbiefdk.dll
C:\Windows\System32\Hauppauge\DivX.dll
C:\Windows\System32\qiubgepi.dll
C:\Windows\System32\qnaeseet.dll
C:\Windows\System32\thiuvr.dll
C:\Windows\System32\yjkokfnt.dll
Hier ein HiJackThis Logfile: Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:43:08, on 11.08.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal
Running processes:
C:\Windows\explorer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\uTorrent\uTorrent.exe
D:\Programme\AnyDVD\AnyDVDtray.exe
D:\Programme\WinTV\EPG Services\System\EPGClient.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
C:\Windows\Explorer.exe
C:\Windows\system32\wbem\unsecapp.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Users\????????\Stores\JK versus Virus\RunScanner.exe
D:\Programme\Malwarebytes Anti-Malware\mbam.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\????????\Stores\JK versus Virus\HijackThis Portable.exe
C:\Users\????????\Stores\JK versus Virus\net-und-web_App\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 0.0.0.0:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {AF19A406-10BC-4439-85FE-97C7BAFD6247} - C:\Windows\system32\yaywxYRl.dll
O4 - HKLM\..\Run: [AnyDVD] D:\Programme\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [EPGServiceTool] D:\Programme\WinTV\EPG Services\System\EPGClient.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67BEF12B-8CB6-4DA9-8CE1-9B4EF9167CB3}: NameServer = 192.168.178.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Ad-Aware\aawservice.exe
O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
O23 - Service: EPGService - Hauppauge Computer Works - D:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - D:\Programme\Trust R-Series Mouse\KMWDSrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - D:\Programme\TeamViewer3\TeamViewer_Host.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\Windows\SYSTEM32\VundoFixSVC.exe
--
End of file - 4424 bytes
Hier noch ein RunScanner-Logfile:
wird nachgeliefer
Und zuletzt das Malwarebytes Anti-Malware-Logfile: Code:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1012
Windows 6.0.6001 Service Pack 1
14:52:46 11.08.2008
mbam-log-8-11-2008 (14-52-37).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 37101
Laufzeit: 9 minute(s), 0 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
C:\Windows\System32\yaywxYRl.dll (Trojan.Vundo) -> No action taken.
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{af19a406-10bc-4439-85fe-97c7bafd6247} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{af19a406-10bc-4439-85fe-97c7bafd6247} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Security Packages (Trojan.Vundo) -> Data: c:\windows\system32\yaywxyrl -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\yaywxyrl
ENDE DES POSTS :) | 