|
TR/Vundo.Gen, ich BITTE um HILFE Hallo, ...ich bin neu hier und kenn micht mit trojanern nicht aus, somit versuch ich euch mit infos vollzustopfen xD ... ich habe seit gestern den trojaner TR/Vundo.Gen auf meiner festplatte. gestern hat er immer einen anderen namen, zb. hhhjjc.dll, vturo.dll, ddcca.dll, ...oder so. wenn ich die datei mit avira antivir lösche, kommt der trojaner jedoch wieder. ich habe 'VundoFix' laufen lassn, das programm konnte die byxwwwu.dll aber nicht fixen bzw. löschen :( HijackThis Logfile findest du weiter unten) ich habe versucht die datei mit 'Autoruns' manuell zu löschen, sie kommt jedoch nach wenigen sekunden wieder. 'cCleaner' konnte mir auch nicht weiterhelfen. 'Norman_Malware_Cleaner' hat datein gelöscht: C:\WINDOWS\system32\WinUpdater2007.exe (Infected with SDBot.gen8) Deleted file Scanning: c:\System Volume Information\*.* c:\System Volume Information\_RESTO~1\RP61\A0015096.exe (Infected with SDBot.gen8) Deleted file ...diese aktion hat glaub ich nichts bewirkt, der trojaner kommt trotzdem noch :( a-squared Free und Stinge haben auch nichts fixen bzw. löschen können. HijackThis Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:28:21, on 21.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\a-squared Free\a2service.exe C:\Dokumente und Einstellungen\Wild\Desktop\autoruns.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Opera\Opera.exe C:\Dokumente und Einstellungen\Wild\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {162C6BC2-E852-4D45-B139-E8A6737F1054} - C:\WINDOWS\system32\byxwwwu.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/su2/CTL_V02002/ocx/15031/CTPID.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: byxwwwu - C:\WINDOWS\SYSTEM32\byxwwwu.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe -- End of file - 5138 bytes - VirusTotal sagt zu der datei c:\windows\system32\byxwwwu.dll: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.11.21.1 2007.11.21 - AntiVir 7.6.0.34 2007.11.21 - Authentium 4.93.8 2007.11.21 - Avast 4.7.1074.0 2007.11.20 - AVG 7.5.0.503 2007.11.21 Win32/PolyCrypt BitDefender 7.2 2007.11.21 Trojan.Inject.ET CAT-QuickHeal 9.00 2007.11.20 Trojan.Inject.kq ClamAV 0.91.2 2007.11.21 - DrWeb 4.44.0.09170 2007.11.21 - eSafe 7.0.15.0 2007.11.14 - eTrust-Vet 31.3.5313 2007.11.21 - Ewido 4.0 2007.11.21 - FileAdvisor 1 2007.11.21 - Fortinet 3.14.0.0 2007.11.21 - F-Prot 4.4.2.54 2007.11.21 - F-Secure 6.70.13030.0 2007.11.21 Trojan.Win32.Inject.kq Ikarus T3.1.1.12 2007.11.21 Trojan.Win32.Inject.kq Kaspersky 7.0.0.125 2007.11.21 Trojan.Win32.Inject.kq McAfee 5167 2007.11.20 - Microsoft 1.3007 2007.11.21 - NOD32v2 2675 2007.11.2 probably a variant of Win32/Genetik Norman 5.80.02 2007.11.20 Vundo.gen42 Panda 9.0.0.4 2007.11.21 - Prevx1 V2 2007.11.21 TROJAN.AGENT.GEN Rising 20.19.21.00 2007.11.21 - Sophos 4.23.0 2007.11.21 - Sunbelt 2.2.907.0 2007.11.21 - Symantec 10 2007.11.21 Trojan.Vundo TheHacker 6.2.9.136 2007.11.21 - VBA32 3.12.2.5 2007.11.20 - VirusBuster 4.3.26:9 2007.11.21 Adware.Vundo.V.Gen Webwasher-Gateway 6.0.1 2007.11.21 Win32.UPXpacked.gen (suspicious) weitere Informationen File size: 36352 bytes MD5: fd06c0d29fbdbfeb56ff4120436f7ecd SHA1: 74abb4c5366f4d8d80dae80636417f9a64c88e97 fileinfo.asp?PX5=55B84583002734B78E55007A1C65D200080423A0]Prevx[/url] - und eScan meint: Datei C:\WINDOWS\system32\byxwwwu.dll infiziert von "Trojan.Win32.Inject.kq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen (Protokoll ist zu lang, kann ich aber nachposten) - ka ob die info was hilft, aber userini.dll oder wie die heißt ist OK. Ich danke im vorraus für die schnelle antwort :P Dank! |
Hallo. Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board