Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Probleme mit "TR/Vundo.Gen" (https://www.trojaner-board.de/59899-probleme-tr-vundo-gen.html)

Wyzard 14.09.2008 16:37
Probleme mit "TR/Vundo.Gen"
 
Hallo,

seit ein paar Tagen nervt mich der "TR/Vundo.Gen". Wird von Avira erkannt.
Ich habe Avira Antivir, AVK, Spybot, Adaware laufen lassen, ohne Erfolg, sowohl im normal als auch abgesicherten Modus. Bin durch Google hierher gekommen, mit Suchen ein gleich gelagertes Problem gefunden, die dortige Anleitung abgearbeitet und hier komm die Logfile.

ComboFix 08-09-13.05 - ML 2008-09-14 17:08:19.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\ML\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pi.exe
C:\WINDOWS\start.exe
C:\WINDOWS\system32\dao350.dll
C:\WINDOWS\system32\vtUnnnoL.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-14 bis 2008-09-14 ))))))))))))))))))))))))))))))
.

2008-09-14 12:31 . 2008-09-14 12:31 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-09-14 10:30 . 2008-09-14 10:30 <DIR> d-------- C:\VundoFix Backups
2008-09-13 15:36 . 2008-09-13 15:46 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-09-13 14:47 . 2008-09-13 14:47 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-09-10 11:46 . 2008-09-10 11:46 144 --a------ C:\WINDOWS\Eudcedit.ini
2008-09-09 12:13 . 2008-09-09 12:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET
2008-09-09 09:28 . 2008-09-09 09:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2008-09-09 09:11 . 2008-09-09 09:11 <DIR> d-------- C:\Programme\Avira
2008-09-09 08:26 . 2008-09-09 08:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-25 15:24 . 2008-08-25 15:24 <DIR> d-------- C:\Dokumente und Einstellungen\ML\Anwendungsdaten\aignes
2008-08-21 11:03 . 2008-08-21 11:13 <DIR> d-------- C:\Programme\Bookmark-Manager
2008-08-21 11:03 . 2005-09-08 00:03 1,330,888 --a------ C:\WINDOWS\system32\msxml6.dll
2008-08-21 11:03 . 2004-02-22 23:00 397,824 --a------ C:\WINDOWS\system32\msrdo20.dll
2008-08-21 11:03 . 1998-04-23 23:00 330,000 --a------ C:\WINDOWS\system32\msexch35.dll
2008-08-21 11:03 . 1998-04-23 23:00 287,504 --a------ C:\WINDOWS\system32\msxbse35.dll
2008-08-21 11:03 . 1998-04-23 23:00 250,128 --a------ C:\WINDOWS\system32\MSPDOX35.dll
2008-08-21 11:03 . 1998-04-23 23:00 250,128 --a------ C:\WINDOWS\system32\msexcl35.dll
2008-08-21 11:03 . 1998-04-23 23:00 166,160 --a------ C:\WINDOWS\system32\msltus35.dll
2008-08-21 11:03 . 1998-04-23 23:00 165,648 --a------ C:\WINDOWS\system32\mstext35.dll
2008-08-21 11:03 . 2000-08-01 23:00 151,552 --a------ C:\WINDOWS\system32\rdocurs.dll
2008-08-20 15:43 . 2008-08-20 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\ML\Anwendungsdaten\PreisHai4
2008-08-20 15:43 . 2007-04-04 22:12 2,593,792 --a------ C:\WINDOWS\system32\ImageEnXLibrary.ocx
2008-08-20 15:43 . 2007-10-12 17:58 753,664 --a------ C:\WINDOWS\system32\iGrid300_10Tec.ocx
2008-08-20 15:43 . 2007-11-06 22:13 687,608 --a------ C:\WINDOWS\system32\wodHttp.dll
2008-08-20 15:43 . 2005-08-30 09:51 126,976 --a------ C:\WINDOWS\system32\sevTrayIcon.ocx
2008-08-20 15:43 . 2007-11-07 09:55 113,664 --a------ C:\WINDOWS\system32\sevClb20.ocx
2008-08-16 09:52 . 2008-08-31 19:36 <DIR> d-------- C:\Dokumente und Einstellungen\ML\Anwendungsdaten\Babylon
2008-08-16 09:52 . 2008-08-31 19:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
2008-08-16 08:27 . 2008-08-16 09:53 <DIR> d-------- C:\Programme\Babylon

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-14 15:13 --------- d-----w C:\Dokumente und Einstellungen\ML\Anwendungsdaten\uTorrent
2008-09-14 15:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-14 12:32 --------- d-----w C:\Dokumente und Einstellungen\ML\Anwendungsdaten\FRITZ!
2008-09-14 09:24 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-13 18:04 --------- d-----w C:\Dokumente und Einstellungen\ML\Anwendungsdaten\teamspeak2
2008-09-13 13:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2008-09-13 13:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
2008-09-10 20:11 --------- d-----w C:\Dokumente und Einstellungen\ML\Anwendungsdaten\Skype
2008-09-10 13:13 --------- d-----w C:\Programme\Sicherheit
2008-09-09 07:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-09 06:37 --------- d-----w C:\Programme\Tools
2008-09-09 06:17 --------- d-----w C:\Programme\Com
2008-09-05 11:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\STAMPIT
2008-09-03 06:13 --------- d-----w C:\Programme\FRITZ!
2008-08-30 07:23 --------- d-----w C:\Programme\Internet
2008-08-17 10:51 --------- d-----w C:\Programme\Games
2008-08-13 12:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-13 12:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-12 13:41 --------- d-----w C:\Programme\Media
2008-08-10 12:38 --------- d-----w C:\Programme\Info
2008-07-31 10:42 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Softland
2008-07-31 08:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-07-29 12:17 --------- d-----w C:\Programme\Driver
2008-07-23 14:42 --------- d-----w C:\Programme\Windows Inspection Tool Set 2.0
2008-06-24 13:53 21,656 ----a-w C:\WINDOWS\system32\dopdfmn6.dll
2008-06-24 13:53 18,072 ----a-w C:\WINDOWS\system32\dopdfmi6.dll
2008-04-20 17:54 29,756 ----a-w C:\Dokumente und Einstellungen\ML\Anwendungsdaten\mdb.bin
2008-03-22 11:29 114,308 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2008-01-18 14:57 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2005-05-13 16:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 10:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-10-13 20:27 422,400 --sha-r C:\WINDOWS\x2.64.exe
2005-10-07 17:14 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll
2005-07-14 11:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 14:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 21:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2005-12-22 19:23 816,640 --sha-r C:\WINDOWS\system32\smab.dll
2005-02-28 12:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Programme\MDA\ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"AlcoholAutomount"="C:\Programme\Tools\Alcohol 120\axcmd.exe" [2007-12-22 221568]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"Google Update"="C:\Dokumente und Einstellungen\ML\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-05 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iKeyWorks"="c:\PROGRA~1\Driver\A4Tech\Ikeymain.exe" [2002-03-12 61440]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 671796]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AS01_Netgear]
--a------ 2003-12-19 13:49 446464 C:\Programme\NETGEAR\WG311 Wireless Smart Configuration\Utility\NetgearAG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WiTS]
--a------ 2007-04-16 17:16 3000048 C:\Programme\Windows Inspection Tool Set 2.0\2.0.5\wits.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TuneUp.Defrag"=3 (0x3)
"NMIndexingService"=3 (0x3)
"Nero BackItUp Scheduler 3"=2 (0x2)
"MZCCntrl"=2 (0x2)
"CiSvc"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"PPScheduler"=C:\Programme\Office\PaperPort\PPScheduler.exe
"STAMPIT-Tray"=C:\Programme\Office\StampIt\Binary\Stray.exe
"T-Online_Software_6\WLAN-Access Finder"=C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
"DAEMON Tools"="C:\Programme\Tools\DAEMON Tools\daemon.exe" -lang 1033
"H/PC Connection Agent"="C:\Programme\MDA\ActiveSync\wcescomm.exe"
"WiTS"="C:\Programme\Windows Inspection Tool Set 2.0\2.0.5\wits.exe" -iconify
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"NVIDIA nTune"="C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"PaperPort PTD"="C:\Programme\Office\PaperPort\pptd40nt.exe"
"IndexSearch"="C:\Programme\Office\PaperPort\IndexSearch.exe"
"PPort11reminder"="C:\Programme\Office\PaperPort\Ereg\ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\ereg.ini"
"SoundMan"=SOUNDMAN.EXE
"EazyScheduler"=C:\Programme\Eazy-Ware\ezSched.exe
"OODefragTray"=C:\WINDOWS\system32\oodtray.exe
"TrueImageMonitor.exe"=C:\Programme\Tools\Acronis11Home\TrueImageMonitor.exe
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"AcronisTimounterMonitor"=C:\Programme\Tools\Acronis11Home\TimounterMonitor.exe
"pdfFactory Pro Dispatcher v2"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
"Babylon Client"=C:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\Internet\\utorrent161\\utorrent.exe"=
"C:\Programme\MDA\ActiveSync\rapimgr.exe"= C:\Programme\MDA\ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\MDA\ActiveSync\wcescomm.exe"= C:\Programme\MDA\ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\MDA\ActiveSync\WCESMgr.exe"= C:\Programme\MDA\ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Tools\\SiSoftware Sandra Engineer XI.SP2c\\RpcSandraSrv.exe"=
"C:\\Programme\\Tools\\SiSoftware Sandra Engineer XI.SP2c\\Win32\\RpcDataSrv.exe"=
"D:\\Programme\\Der Herr der Ringe Online\\lotroclient.exe"=
"C:\\Programme\\Driver\\Caplio\\RGateLXP.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 nvgts;nvgts;C:\WINDOWS\system32\DRIVERS\nvgts.sys [2008-01-25 132096]
R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2007-12-27 368736]
R0 TwkMs;CHIPDRIVE Maus Adapter;C:\WINDOWS\system32\drivers\TwkMs.sys [2000-10-20 4828]
R2 MSSQL$BKM;MSSQL$BKM;C:\Programme\Microsoft SQL Server\MSSQL$BKM\Binn\sqlservr.exe [2000-08-17 7442493]
R2 PStrip;PSTRIP;C:\WINDOWS\system32\DRIVERS\PSTRIP.SYS [2007-07-15 27992]
R2 TwkPCSC;CHIPDRIVE PC/SC Drivers;C:\WINDOWS\system32\drivers\TwkPCSC.sys [2000-10-20 11612]
R2 TWKSCARDSRV;CHIPDRIVE SCARD Service;C:\WINDOWS\SCARDS32.EXE [2000-10-20 265216]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2007-05-07 53632]
R3 fpcibase;FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2007-05-07 537600]
R3 TWKPNP;CHIPDRIVE Plug and Play driver;C:\WINDOWS\system32\DRIVERS\TWKPNP.SYS [2000-10-20 5550]
S1 16DSCSI;16DSCSI;C:\WINDOWS\system32\drivers\16DSCSI.SYS [1998-05-29 14000]
S1 vdrv9000;vdrv9000;C:\WINDOWS\system32\DRIVERS\vdrv9000.sys [ ]
S3 AVKService;AVK Service;C:\Programme\Sicherheit\AVK\AVKService.exe [2002-11-21 290816]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
S3 AWINDIS5;AWINDIS5 Protocol Driver;C:\WINDOWS\system32\AWINDIS5.SYS [2002-04-11 16194]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 17536]
S3 NETGEAR_WG311_SERVICE;NETGEAR WG311 Wireless PCI Adapter Service;C:\WINDOWS\system32\DRIVERS\wg311nd5.sys [2003-10-07 344448]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 17280]
S3 SQLAgent$BKM;SQLAgent$BKM;C:\Programme\Microsoft SQL Server\MSSQL$BKM\Binn\sqlagent.EXE [2000-08-06 303170]
S3 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-08-31 498872]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-24 306432]
S4 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 61440]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\ML\Anwendungsdaten\Mozilla\Firefox\Profiles\yfv1k858.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
FF -: plugin - C:\Dokumente und Einstellungen\ML\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.11\npGoogleOneClick5.dll
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1172.2021\npCIDetect11.dll
FF -: plugin - C:\Programme\Internet\FireFox\plugins\npnul32.dll
FF -: plugin - C:\Programme\Internet\FireFox\plugins\nppdf32.dll
FF -: plugin - C:\Programme\Internet\FireFox\plugins\nppl3260.dll
FF -: plugin - C:\Programme\Internet\FireFox\plugins\npqtplugin.dll
FF -: plugin - C:\Programme\Internet\FireFox\plugins\npqtplugin2.dll
FF -: plugin - C:\Programme\Internet\FireFox\plugins\npqtplugin3.dll
FF -: plugin - C:\Programme\Internet\FireFox\plugins\npqtplugin4.dll
FF -: plugin - C:\Programme\Internet\FireFox\plugins\npqtplugin5.dll
FF -: plugin - C:\Programme\Internet\FireFox\plugins\nprpjplug.dll
FF -: plugin - C:\Programme\Media\Codec\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - C:\Programme\Media\Codec\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF -: plugin - C:\Programme\Media\VLC\npvlc.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-14 17:12:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv9000]
"ImagePath"="system32\DRIVERS\vdrv9000.sys"
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Driver\A4Tech\Ikeymain.exe
C:\Programme\MDA\ActiveSync\rapimgr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\FriFon32.exe
C:\Programme\Com\ISDNCall\IsdnCall.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Tools\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\searchindexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\searchprotocolhost.exe
C:\WINDOWS\system32\searchfilterhost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-14 17:17:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-14 15:17:32

Pre-Run: 20 Verzeichnis(se), 15,109,943,296 Bytes frei
Post-Run: 24 Verzeichnis(se), 15,051,702,272 Bytes frei

262


Für eine mögliche Hilfe wäre ich sehr dankbar. :)

Wyzard

schrauber 15.09.2008 07:34
hi Wyzard und :hallo:



lasse Malwarebytes Antimalware scannen, funde löschen lassen, log posten.

===

Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Browser öffnen und
  • Kaspersky Online Scanner ansurfen.
  • Die Datenschutzerklärung akzeptieren.
  • Die nötigen ActiveX-Steuerelemente installieren lassen.
  • Update der Signaturen installieren lassen => Weiter
  • Scan-Einstellungen => Standard wählen => OK
  • Link "Arbeitsplatz" anklicken
  • Scan beginnt automatisch
  • Untersuchung wurde abgeschlossen => Protokoll speichern als...
  • Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
  • Logdatei hier posten.
  • Deinstallation
  • nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
    => C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>
Zitat:
Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dardurch verbrauchen sie außer Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet, um sich eine zweite Meinung einzuholen.
====

erstelle und poste ein hijackthis - logfile, wie steht in meiner signatur.

Wyzard 16.09.2008 21:00
So, ich habe die Anleitungen befolgt, glaube daß der Virus weg ist weil er nicht mehr gemeldet wurde. Habe aber zur Sicherheit noch einmal die relevanten Logfiles nachstehend gepostet.

Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1154
Windows 5.1.2600 Service Pack 2

15.09.2008 11:58:52
mbam-log-2008-09-15 (11-58-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 181975
Laufzeit: 38 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Internet\mIRC\mirc.exe (Backdoor.Bot) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\vtUnnnoL.dll.vir (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{8294ACD5-A74A-4BF4-83A6-92E5D13D3CFC}\RP1\A0000009.dll (Trojan.Vundo) -> No action taken.
Code:
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
 Tuesday, September 16, 2008
 Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
 Kaspersky Online Scanner 7 version: 7.0.25.0
 Program database last update: Monday, September 15, 2008 10:30:09
 Records in database: 1235094
--------------------------------------------------------------------------------

Scan settings:
        Scan using the following database: extended
        Scan archives: yes
        Scan mail databases: yes

Scan area - Folder:
        C:\

Scan statistics:
        Files scanned: 86734
        Threat name: 1
        Infected objects: 1
        Suspicious objects: 0
        Duration of the scan: 01:10:55


File name / Threat name / Threats count
C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL        Infected: not-a-virus:AdTool.Win32.MyWebSearch.az        1

The selected area was scanned.
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:44:29, on 16.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\Driver\A4Tech\Ikeymain.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\MDA\ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MDA\ACTIVE~1\rapimgr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Com\ISDNCall\IsdnCall.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Microsoft SQL Server\MSSQL$BKM\Binn\sqlservr.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Tools\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet\FireFox\firefox.exe
C:\Programme\Sicherheit\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [iKeyWorks] c:\PROGRA~1\Driver\A4Tech\Ikeymain.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\MDA\ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Tools\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: FRITZ!fon.lnk = C:\Programme\FRITZ!\FriFon32.exe
O4 - Startup: ISDNCall.lnk = C:\Programme\Com\ISDNCall\IsdnCall.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: SQL Server.lnk = C:\caddie\db\startDB.bat
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MDA\ACTIVE~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MDA\ACTIVE~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MDA\ACTIVE~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Sicherheit\AdAware\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Sicherheit\AVK\AVKService.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\Tools\SiSoftware Sandra Engineer XI.SP2c\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\Tools\SiSoftware Sandra Engineer XI.SP2c\RpcSandraSrv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Tools\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE

--
End of file - 8904 bytes
Ich hoffe das wars, und vielen Dank für eure Mühe und Hilfe

Gruß
Wyzard

schrauber 17.09.2008 03:27
du hast die funde von malwarebytes nicht löschen lassen, bitte tool updaten, komplettscan, funde löschen lassen, log posten.

===

Tool-Bereinigung mit OTMoveIt2
Bitte lade Dir OTMoveIt von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
  • Klicke auf den Button "CleanUp!"
  • Eine Datei* sollte nun heruntergeladen werden.
    *Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
  • OTMoveit fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

====

Systemwiederherstellung deaktivieren und wieder aktivieren:
  • •*Windows XP: Deaktiviere die
    Systemwiederherstellung
    •*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
    •*Wähle den Reiter Systemwiederherstellung
    •*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
    •*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
    •*den Haken wieder entfernen und OK drücken
    •*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten





arbeite mit dem rechner, mal schauen was wird.

wobei ich neuaufsetzen würde....

Zitat:
(Backdoor.Bot)

Wyzard 18.09.2008 15:31
Danke nochmal für die Hilfe, der Rechner scheint jetzt sauber zu sein.

Gruß

Wyzard

schrauber 18.09.2008 15:35
Zitat:
der Rechner scheint jetzt sauber zu sein.
ja genau :D


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131