TR/Vundo.Gen
 

Hallo Leute, bin total verzweifelt, denn ich habe den lästigen Trojaner Vundo.Gen auf meinem PC. Ich habe schon alle möglichen Programme durch, alles möglich und unmögliche gelöscht, aber der Mist erscheint immer wieder. Noch dazu habe ich den PC erst vorgestern neu aufgesetzt, und seitdem habe ich den Käse. Ich habe nun so viele Programme aus dem Internet installiert, dass wenn ich ihn wieder neu aufsetze ich elend viel Zeit mit downloaden verbringe. Ich habe ein langsamen Internetzugang, und habe ein beschränktes Downloadvolumen, somit ist das echt der blanke Horror. Ich habe es versucht mit CCCleaner, RegCleaner, TrojanCheck, Autoruns, KillBox, HiJackThis und CleanUp, und habe alles bis auf die Knochen abgenagt, aber den Vundo bekomme ich nicht weg. Sowas habe ich in den letzten sechs Jahren, die ich extrem im Internet unterwegs bin nicht erlebt. Wie gibt es das? Warum gibt es da kein Programm das diesem Trojaner die Stirn bieten kann? Ich habe mir schon einige Threads durchgelesen, sowohl hier wie auch in anderen Foren, aber so weit ich das mitbekommen habe ist ihn keiner losgeworden. Alle versuchen es zuerst mit HiJackThis, und löschen dann der Reihe nach so ziemlich alles was am PC drauf ist, aber der Mistkerl bleibt erhalten. Ich glaube langsam, dass man sogar Windows deinstallieren könnte, aber der Vundo würde sich weiter irgendwo auf einem Bit irgendwas festkrallen. Nichtsdestotrotz muss ich es so wie die anderen machen. Somit poste ich hier jetzt mein HiJackThis-Log und bin für jede profesionelle Hilfe dankbar, denn im Grunde genommen bin ich in diesen Dingen doch nur ein Laie. Mein Betriebssystem ist Windows XP Professional und ich habe alle möglichen Windows-Updates installiert. Mein Prozessor ist ein AMD Athlon 2800+ XP mit 512 RAM. Ich habe AntiVir am neuesten Stand, und der zeigt mir den Trojaner auch immer an. Vor allem wenn ich den IE aktiviere, aber auch bei Firefox. Meine Sygate Personal Firewall zeigt mir dann auch meistens an, dass mein Widows Explorer auf irgendetwas zugreifen will. Ich habe denn verdacht, dass der Trojaner auch entweder im IE ode/und im WE verankert ist. Antivir zeigt mir immer zwei gleiche Funde, und zwar einmal in C:\Windows\System32\awturom.dll und ein weiteres in C:\Windows\System32\urqru.dll, wobei beide als das trojanische Pferd TR.Vundo.Gen identifiziert werden.
Hier nun der HiJackThis-log:

Logfile of HijackThis v1.99.1
Scan saved at 20:29:21, on 01.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Krle\LOCALS~1\Temp\Rar$EX00.555\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Program Files\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?e8b8698da9884e0b980f591b5cb16e0b
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Program Files\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?e8b8698da9884e0b980f591b5cb16e0b
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159556791306
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159556684883
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Liebe Grüße Johnny

Hallo,

auch dein Logfile sieht meiner Ansicht nach sauber aus, es deutet zumindest nichts auf eine "direkte" Infektion mit VUNDO hin.

Du kannst aber trotzdem mal folgendes Tool benutzen: Vundofix

Poste das erstellte Logfile von Vundofix im Anschluss!
Sollte dieses Tool dein Problem nicht lösen, führe einen eScan durch, ANleitung dazu in meiner Signatur.

Gruß
Sunny