|
TR/Vundo.gen + Fehler en masse Hallo an alle, mir ist bewußt das dieser Trojaner des öfteren besprochen wurde aber jeder Rät was anderes und alle Hinweise beziehen sich auf die Auswärtung des Hijack Logfiles. Basisinfos: Windows XP 2nd Edition Firefox 3 AntiVir (täglich neues Update) Spybot SD Nachdem sich mein System verlangsamt hatte und der Antivir Guard anfing Virenfunde mit täglicher Regelmäßigkeit anzuzeigen habe ich einen befreundeten Informatiker um Hilfe gebeten. Der hat dann von einem USB Stick gebootet und AntiVir über Linux laufen lassen (soweit ich das verstanden habe). Nachdem wir die betroffenen Dateien in Quarantäne gestellt oder gelöscht hatten wurde es schlimmer. Am nächsten Tag kam alle paar Sekunden die Meldung des Antiviren Guard mit dem Fund von TR/Pakes.ldu Wir haben das ganze Prozedere an einem anderen Tag wiederholt, wobei der neue Scan noch mehr Trojaner meldetet als zuvor, obwohl nur 2 Tage vergangen waren in denen ich kaum rumgesurft bin. Diesmal haben wir auch noch Spybot SD installiert und die Fehler u.A. Keylogger behoben. Das Ganze hat auch nichts gebracht. Das System ist jetzt unsagbar langsam und instabil. Und der aktuelle Trojaner der sich mit Antivir nicht wegkriegen lässt ist TR/Vundo.gen Begleiterscheinung sind übrigens auch, dass beim Surfen mit Firefox ständig irgendwelche Werbefenster oder "angebliche Virenscanner"-Seiten geöffnet werden. Nachdem ich eine Änderung in der Registry die Spybot für verdächtig hielt nicht zugestimmt habe bekomem noch dazu folgende Fehlermeldung bei jedem Systemstart: "RUNDLL Fehler beim Laden von C:\Windows\systems32\smxougfy.dll Das angegebene Modul wurde nicht gefunden" Tja bleibt mir nur noch die Logfiles einzufügen und euch um Hilfe zu bitten: HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:41:04, on 24.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe c:\xampp\apache\bin\apache.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\svchost.exe C:\xampp\apache\bin\apache.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\vsnpstd3.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe C:\DOKUME~1\***\LOKALE~1\Temp\Adobelm_Cleanup.0001 C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe C:\DOKUME~1\***\LOKALE~1\Temp\Adobelm_Cleanup.0001 C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://alice.aol.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://alice.aol.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://alice.aol.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-cache.fh-worms.de:3128 O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\3.bin\ASKTBAR.DLL (file missing) O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45" O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" O4 - HKLM\..\Run: [484f5f39] rundll32.exe "C:\WINDOWS\system32\smxougfy.dll",b O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202487996966 O20 - AppInit_DLLs: imtknk.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Window Net Dns (MyDNS) - Unknown owner - C:\Program Files\Internet Explorer\svchost.exe (file missing) O23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe -- End of file - 10361 bytes AntiVir AntiVir / Linux Version 2.1.12-70 Copyright (c) 2008 by Avira GmbH. All rights reserved. Report created on 10/23/2008 17:05:00 Command line: --archive-max-size=229755K -ren -s --scan-in-archive --allfiles --alltypes --scan-in-mbox -e --with-dialer --with-joke --with-game --with-spr -lang=DE / -ro -rf/tmp/avlogfile -r1 VDF version: 7.0.7.76 created 23 Oct 2008 AntiVir license: 149995 for AntiVir Rescue System checking drive/path (list): / /mnt/hda1/Dokumente und Einstellungen/All Users/Anwendungsdaten/Spybot - Search & Destroy/Recovery/FunWebProducts.zip Date: 23.10.2008 Time: 13:29:18 Size: 579 WARNING: archive not completely scanned: contents encrypted /mnt/hda1/Dokumente und Einstellungen/All Users/Anwendungsdaten/Spybot - Search & Destroy/Recovery/SCKeylogger.zip Date: 23.10.2008 Time: 13:29:18 Size: 451 WARNING: archive not completely scanned: contents encrypted /mnt/hda1/Dokumente und Einstellungen/All Users/Anwendungsdaten/Spybot - Search & Destroy/Recovery/Virtumondedll.zip Date: 23.10.2008 Time: 13:29:44 Size: 697 WARNING: archive not completely scanned: contents encrypted /mnt/hda1/Dokumente und Einstellungen/All Users/Anwendungsdaten/Spybot - Search & Destroy/Recovery/Virtumondedll1.zip Date: 23.10.2008 Time: 13:29:44 Size: 608 WARNING: archive not completely scanned: contents encrypted /mnt/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Microsoft/Outlook/outlook.pst Date: 10.07.2006 Time: 21:35:11 Size: 312886272 WARNING: archive not completely scanned: format unsupported WARNING: archive not completely scanned: processing error /mnt/hda1/Dokumente und Einstellungen/***/Lokale Einstellungen/Temporary Internet Files/Content.IE5/0DE345IJ/nd82m0[1] Date: 22.10.2008 Time: 10:13:54 Size: 101888 ALERT: [ADSPY/SuperJuan.enb] /mnt/hda1/Dokumente und Einstellungen/***/Lokale Einstellungen/Temporary Internet Files/Content.IE5/0DE345IJ/nd82m0[1] <<< Contains detection pattern of the Ad- or Spyware ADSPY/SuperJuan.enb not removable file renamed. /mnt/hda1/Dokumente und Einstellungen/***/Lokale Einstellungen/Temporary Internet Files/Content.IE5/54OJHLKH/upd105320[1] Date: 21.10.2008 Time: 09:15:27 Size: 69632 ALERT: [TR/Vundo.LS] /mnt/hda1/Dokumente und Einstellungen/***/Lokale Einstellungen/Temporary Internet Files/Content.IE5/54OJHLKH/upd105320[1] <<< Is the Trojan horse TR/Vundo.LS not removable file renamed. /mnt/hda1/Dokumente und Einstellungen/***/Lokale Einstellungen/Temporary Internet Files/Content.IE5/67HI12UD/kb20010911[1] Date: 22.10.2008 Time: 10:08:36 Size: 2048 ALERT: [TR/QLowZones.S] /mnt/hda1/Dokumente und Einstellungen/***/Lokale Einstellungen/Temporary Internet Files/Content.IE5/67HI12UD/kb20010911[1] <<< Is the Trojan horse TR/QLowZones.S not removable file renamed. /mnt/hda1/Programme/Nero/Nero 7/Nero BackItUp/BackItUp_ImageTool/root.img Date: 15.11.2005 Time: 11:36:00 Size: 13590537 WARNING: archive not completely scanned: contents exceed 235269120 bytes /mnt/hda1/Programme/Lavasoft/Ad-Aware SE Personal/Skins/Ad-Aware SE default.ask Date: 26.05.2005 Time: 13:37:00 Size: 77392 WARNING: archive not completely scanned: contents encrypted /mnt/hda1/System Volume Information/_restore{A6E88EC8-50FA-4D77-BE54-85FFB51756C2}/RP753/A0102641.dll Date: 21.10.2008 Time: 09:15:27 Size: 69632 ALERT: [TR/Vundo.LS] /mnt/hda1/System Volume Information/_restore{A6E88EC8-50FA-4D77-BE54-85FFB51756C2}/RP753/A0102641.dll <<< Is the Trojan horse TR/Vundo.LS not removable file renamed. /mnt/hda1/System Volume Information/_restore{A6E88EC8-50FA-4D77-BE54-85FFB51756C2}/RP753/A0102729.exe Date: 23.10.2008 Time: 11:44:21 Size: 2048 ALERT: [TR/QLowZones.S] /mnt/hda1/System Volume Information/_restore{A6E88EC8-50FA-4D77-BE54-85FFB51756C2}/RP753/A0102729.exe <<< Is the Trojan horse TR/QLowZones.S not removable file renamed. /mnt/hda1/System Volume Information/_restore{A6E88EC8-50FA-4D77-BE54-85FFB51756C2}/RP753/A0102730.exe Date: 22.10.2008 Time: 10:08:53 Size: 2048 ALERT: [TR/QLowZones.S] /mnt/hda1/System Volume Information/_restore{A6E88EC8-50FA-4D77-BE54-85FFB51756C2}/RP753/A0102730.exe <<< Is the Trojan horse TR/QLowZones.S not removable file renamed. /mnt/hda1/System Volume Information/_restore{A6E88EC8-50FA-4D77-BE54-85FFB51756C2}/RP753/A0102731.dll Date: 22.10.2008 Time: 10:13:55 Size: 69632 ALERT: [TR/Vundo.LS] /mnt/hda1/System Volume Information/_restore{A6E88EC8-50FA-4D77-BE54-85FFB51756C2}/RP753/A0102731.dll <<< Is the Trojan horse TR/Vundo.LS not removable file renamed. /mnt/hda1/WINDOWS/system32/nbbuiymq.dll Date: 22.10.2008 Time: 10:13:54 Size: 101888 ALERT: [ADSPY/SuperJuan.enb] /mnt/hda1/WINDOWS/system32/nbbuiymq.dll <<< Contains detection pattern of the Ad- or Spyware ADSPY/SuperJuan.enb not removable file renamed. /mnt/hda1/WINDOWS/system32/apdcoa.dll Date: 22.10.2008 Time: 10:13:54 Size: 101888 ALERT: [ADSPY/SuperJuan.enb] /mnt/hda1/WINDOWS/system32/apdcoa.dll <<< Contains detection pattern of the Ad- or Spyware ADSPY/SuperJuan.enb not removable file renamed. /mnt/hda1/WINDOWS/system32/awtqoMeB.dll Date: 16.10.2008 Time: 21:27:48 Size: 243712 ALERT: [TR/Pakes.ldu] /mnt/hda1/WINDOWS/system32/awtqoMeB.dll <<< Is the Trojan horse TR/Pakes.ldu not removable file renamed. /mnt/hda1/WINDOWS/system32/ffvgeskc.dll Date: 18.10.2008 Time: 10:51:57 Size: 101888 ALERT: [ADSPY/SuperJuan.elt] /mnt/hda1/WINDOWS/system32/ffvgeskc.dll <<< Contains detection pattern of the Ad- or Spyware ADSPY/SuperJuan.elt not removable file renamed. /mnt/hda1/WINDOWS/system32/gswoviyq.dll Date: 19.10.2008 Time: 17:47:32 Size: 101888 ALERT: [ADSPY/SuperJuan.elt] /mnt/hda1/WINDOWS/system32/gswoviyq.dll <<< Contains detection pattern of the Ad- or Spyware ADSPY/SuperJuan.elt not removable file renamed. /mnt/hda1/WINDOWS/system32/gvtixl.dll Date: 18.10.2008 Time: 10:51:57 Size: 101888 ALERT: [ADSPY/SuperJuan.elt] /mnt/hda1/WINDOWS/system32/gvtixl.dll <<< Contains detection pattern of the Ad- or Spyware ADSPY/SuperJuan.elt not removable file renamed. /mnt/hda1/WINDOWS/system32/ocksbgjf.dll Date: 19.10.2008 Time: 11:00:35 Size: 101888 ALERT: [ADSPY/SuperJuan.elt] /mnt/hda1/WINDOWS/system32/ocksbgjf.dll <<< Contains detection pattern of the Ad- or Spyware ADSPY/SuperJuan.elt not removable file renamed. /mnt/hda1/WINDOWS/system32/stgzwk.dll Date: 21.10.2008 Time: 09:09:49 Size: 101888 ALERT: [ADSPY/SuperJuan.enb] /mnt/hda1/WINDOWS/system32/stgzwk.dll <<< Contains detection pattern of the Ad- or Spyware ADSPY/SuperJuan.enb not removable file renamed. /mnt/hda1/WINDOWS/system32/xitecxqt.dll Date: 21.10.2008 Time: 09:09:49 Size: 101888 ALERT: [ADSPY/SuperJuan.enb] /mnt/hda1/WINDOWS/system32/xitecxqt.dll <<< Contains detection pattern of the Ad- or Spyware ADSPY/SuperJuan.enb not removable file renamed. /mnt/hda1/WINDOWS/system32/pspgyx.dll Date: 19.10.2008 Time: 11:00:35 Size: 101888 ALERT: [ADSPY/SuperJuan.elt] /mnt/hda1/WINDOWS/system32/pspgyx.dll <<< Contains detection pattern of the Ad- or Spyware ADSPY/SuperJuan.elt not removable file renamed. /mnt/hda1/WINDOWS/system32/yainoa.dll Date: 19.10.2008 Time: 17:47:32 Size: 101888 ALERT: [ADSPY/SuperJuan.elt] /mnt/hda1/WINDOWS/system32/yainoa.dll <<< Contains detection pattern of the Ad- or Spyware ADSPY/SuperJuan.elt not removable file renamed. ------ scan results ------ directories: 15974 scanned files: 448772 skipped files: 1 alerts: 18 suspicious: 0 repaired: 0 deleted: 0 renamed: 18 quarantined: 0 warnings: 12 scan time: 00:46:59 -------------------------- Hoffe ihr könnt mir weiterhelfen. Ich bin für jede Hilfe dankbar!!! |
die logfiles bitte mit Code: [.code] LOGFILE [./code]desweiteren überprüfe bitte folgende Daten Code: c:\xampp\apache\bin\apache.exeCode: c:\xampp\mysql\bin\mysqld-nt.exeCode: C:\WINDOWS\vsnpstd3.exeCode: C:\WINDOWS\system32\smxougfy.dllCode: C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exeCode: C:\WINDOWS\System32\shdocvw.dllEDIT: Falls dir die daten bekannt sind und du weißt, dass sie ungefährlich sind dann musst du das natürlich nicht tun |
Hi all hatte aber das gleiche problem.http://www.trojaner-board.de/images/smilies/smile.gif Hatte den Tr/Vundo.Gen der noch mehr dreck aus dem internet runtergezogen hat. Hatte alles mögliche probiert der war immer wieder da. bei mir hat dan folgendes gefunzt. habe mit Avir die Plagegeister 15 St.in Qurantäne geschickt, was nicht ging habe ich umbenannt. danach unbedingt die systemwiederherstellung deaktivieren , da versteckt sich der Sau... rechner neu starten. nochmal scannen da war er weg. Keine Garantie Da_Templer |
@Da_Templer Hi, das Ganze geht mir echt auf die Nerven. Ich kann zu fast ein Buch nebenher lesen bis die Seite geladet hat um diese Antwort zu schreiben. Mal für Doofe. Was ist diese Systemwiederherstellung und wie kann ich sie ausschalten (bitte klick für klick!)? @all Was ist eigentlich mit den Dateien die von Antivir unbenannt wurden. Wenn der Rechner sauber hochfährt kann ich diese Dateien doch sicherheitshalber löschen oder? Mir ist bewußt das einzelne Programme eventuellnicht korrekt ausgeführt werden können aber da ich sowieso am Rande des Format C: stehe... so what. Was ist eure Meinung hierzu? |
@panic Vorab die Datei C:\WINDOWS\system32\smxougfy.dll konnte nicht gefunden werden obwohl ich alle versteckten Dateien anzeigen lasse. Ansonsten sind hier die Ergebnisse von Virus Total. Code: Datei vsnpstd3.exe empfangen 2008.10.24 16:38:36 (CET) |
hey, könnte mir mal bitte jemand helfen? ich wäre diesen blöden trojaner einfach nicht mehr los hab schon alles ausgeprobiert und weiß einfach nicht mehr weiter Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Macrogaming\SweetIM\SweetIM.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\RALINK\Common\RaUI.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: {f68e5e3f-28b0-75ab-c1c4-6491adf27c0a} - {a0c72fda-1946-4c1c-ba57-0b82f3e5e86f} - C:\WINDOWS\system32\uhrkwh.dll O2 - BHO: (no name) - {E9349597-6E81-47F3-B05D-469763764FB7} - C:\WINDOWS\system32\ddcBSLFv.dll (file missing) O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [NI.UGESU_0001_N122M0303] "C:\Dokumente und Einstellungen\Sindy\Eigene Dateien\installer\setup_de.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Spyware-Secure] C:\Programme\Spyware-Secure\Spyware-Secure_trial.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - http://www.schueler.cc/uploader/ImageUploader5.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: uhrkwh.dll O20 - Winlogon Notify: ddcBSLFv - ddcBSLFv.dll (file missing) O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe wäre echt voll lieb, danke schonmal :( |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:49 Uhr. |
Copyright ©2000-2025, Trojaner-Board