Home » Viren, Trojaner & Malware Forum » Trojaner Vundo.Gen + zusätzliche Trojanerflut ausgebrochen » Themenansicht

Trojaner Vundo.Gen + zusätzliche Trojanerflut ausgebrochen
05.05.2008, 23:30
Krausbua
...neu hier

Beiträge: 4
#1 Hey!

Ich wollte mir (Schande über mich) einen Serial für Cortex Command holen, und bin dabei auf eine Seite gestoßen, über deren .EXE Datei ich mir sofort einen (oder mehrere?) Trojaner holte...

Weder mit Fixvundo und anderen Progs konnte ich es entfernen.
Hab hier meine LOGS

HJT-LOG

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:25, on 2008-05-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\DigiDesign\Drivers\MMERefresh.exe
C:\Programme\M-Audio\Fast Track USB\MAUSBFTInst.exe
C:\WINDOWS\system32\libusbd-nt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.EXE
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Kraus\Desktop\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Programme\DigiDesign\Drivers\MMERefresh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] "e:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: SpeedTouch 121g Wireless USB Monitor.lnk = C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - E:\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {52F9E3BE-B8C8-11D9-BDE2-0050C2490000} (Cloanto MenuList Control) - file://L:\WINDOWS\MenuBox\MenuList.ocx
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {938527D1-CDB7-4147-998A-B20FCA5CC976} (Cdmcco Class) - http://cafeimg.hanmail.net/activex/dmcc2.cab?Version=1,0,0,10
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/obj/NpFv415.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: wvukixri - wvUkIXRi.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (antivirscheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Programme\DigiDesign\Drivers\MMERefresh.exe
O23 - Service: digiSPTIService - Digidesign, A Division of Avid Technology, Inc. - C:\Programme\Digidesign\Pro Tools\digiSPTIService.exe
O23 - Service: M-Audio Fast Track Installer (FastTrackInstallerService) - Avid Technology, Inc. - C:\Programme\M-Audio\Fast Track USB\MAUSBFTInst.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 12808 bytes

DATFIND - LOG
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4C2-181F

Verzeichnis von C:\WINDOWS\system32

2008-05-05 23:26 70,578 kzq5re.sys ->Rootkit
2008-05-05 22:07 15 f4c20a3e
2008-05-05 14:01 0 clkcnt.txt
2008-05-04 18:22 37,376 wvUkIXRi.VIR
2008-05-01 10:57 13,646 wpa.dbl
2008-04-15 00:05 408,928 perfh009.dat
2008-04-15 00:05 942,884 PerfStringBackup.INI
2008-04-15 00:05 78,114 perfc007.dat
2008-04-15 00:05 425,102 perfh007.dat
2008-04-15 00:05 64,450 perfc009.dat
2008-04-09 21:49 243,128 FNTCACHE.DAT
2008-04-06 07:56 19,836,024 MRT.exe
2008-03-28 23:37 90,112 QuickTimeVR.qtx
2008-03-28 23:37 57,344 QuickTime.qts
2008-03-20 10:03 1,845,376 win32k.sys
2008-03-19 16:04 48 w3data.vss
2008-02-21 12:11 2,241,536 kernel1.exe
2008-02-21 04:11 3,136 dtu_de.qm
2008-02-21 04:05 10,152 dsm_de.qm
2008-02-21 04:05 4,816 divxsm.tlb
2008-02-21 04:05 524,288 DivXsm.exe
2008-02-21 04:05 3,596,288 qt-dx331.dll
2008-02-21 04:05 1,044,480 libdivx.dll
2008-02-21 04:05 200,704 ssldivx.dll
2008-02-21 04:04 81,920 dpl100.dll
2008-02-21 04:04 416 dtu100.dll.manifest
2008-02-21 04:04 196,608 dtu100.dll
2008-02-21 04:04 416 dpl100.dll.manifest
2008-02-21 04:04 53,248 dpuGUI10.dll
2008-02-21 04:04 593,920 dpuGUI11.dll
2008-02-21 04:04 294,912 dpu10.dll

.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4C2-181F

Verzeichnis von C:\DOKUME~1\Kraus\LOKALE~1\Temp

2008-05-05 23:26 108,790 datfind.txt
2008-05-05 23:24 114,688 ~DFDB7D.tmp
2008-05-05 23:23 318,369 HiJackThis.zip
2008-05-05 23:17 32,768 ~DF2FF9.tmp
2008-05-05 23:17 196,608 ~DF3010.tmp
2008-05-05 23:13 173 jusched.log
6 Datei(en) 771,396 Bytes
0 Verzeichnis(se), 32,332,271,616 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4C2-181F

Verzeichnis von C:\WINDOWS

2008-05-05 23:17 1,200 setupapi.log
2008-05-05 23:10 1,799,794 WindowsUpdate.log
2008-05-05 23:09 227 system.ini
2008-05-05 23:08 54,156 QTFont.qfn
2008-05-05 23:08 0 0.log
2008-05-05 23:08 2,048 bootstat.dat
2008-05-05 23:06 32,564 SchedLgU.Txt
2008-05-05 23:05 53,248 PSEXESVC.EXE
2008-05-04 23:41 69 NeroDigital.ini
2008-04-14 23:48 1,409 QTFont.for
2008-04-06 19:55 1,033,782 setupapi.log.0.old
2008-03-19 16:04 48 msocreg32.dat
2008-03-15 13:54 709 win.ini
2008-03-11 16:29 559 kaillera.ini
2008-02-29 14:02 1,925 tabled32.ini

.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4C2-181F

Verzeichnis von C:\WINDOWS\temp

2008-05-05 23:09 262,144 745C6E9ECB8F4863.tmp
2008-05-05 23:09 262,144 8AF12AB59DCE7145.tmp
2008-05-05 23:09 182,609 7CF28762C38CA0D4.tmp
2008-05-05 23:09 70,007 AE8AB41F91F72503.tmp
4 Datei(en) 776,904 Bytes
0 Verzeichnis(se), 32,332,263,424 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4C2-181F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2008-01-02 23:20 719,064 NpFv415.dll


so das wäre soweit mal alles...
Ich hoffe ihr könnt mir helfen, brauche meinen PC dringend für meine Arbeit!

Symptome: Mein AntiVir zeigt den Virus an, mein Norton E-Mail Check flutet meinen PC mit Pop-Ups, seit dem Vundo.Gen erkennt er ab und an noch andere Trojaner.

Danke für eure Mühen schon im Voraus

Liebe Grüße
Markus

---------

edit (Sabina)

2008-05-05 22:16 . 2008-05-05 22:16 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-05-05 22:07 . 2008-05-05 22:07 15 --a------ C:\WINDOWS\system32\f4c20a3e
2008-05-04 18:22 . 2008-05-04 18:22 80,384 --a------ C:\flciijjq.exe
2008-05-04 18:22 . 2008-05-04 18:22 74,752 --a------ C:\mxuxc.exe
2008-05-04 18:22 . 2008-05-05 23:10 70,578 --a------ C:\WINDOWS\system32\kzq5re.sys
2008-05-04 18:22 . 2008-05-04 18:22 37,376 --a------ C:\WINDOWS\system32\wvUkIXRi.VIR
2008-05-04 18:22 . 2008-05-04 18:22 2 --a------ C:\-188606433

Anhang: ComboFix.txt
Seitenanfang Seitenende
06.05.2008, 02:40
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Driver::
kzq5re

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvukixri]

File::
C:\WINDOWS\system32\kzq5re.sys
C:\WINDOWS\system32\f4c20a3e
C:\flciijjq.exe
C:\mxuxc.exe
C:\WINDOWS\system32\wvUkIXRi.VIR
C:\-188606433
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

poste das neue Log von Combofix

PC neustarten

-------------------------

2.
scanne + berichte, ob etwas gefunden/gelöscht wurde (scanne bitte im abgesicherten Modus)
http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.05.2008, 14:42
Krausbua
...neu hier

Themenstarter

Beiträge: 4
#3 Hoffe es hilft bzw. du kannst damit etwas anfangen!

Anhang: ComboFix.txt
Seitenanfang Seitenende
06.05.2008, 15:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo,

scanne mit sdfix im abgesicherten modus + poste den report
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.05.2008, 20:23
Krausbua
...neu hier

Themenstarter

Beiträge: 4
#5 so hier nun der report!

Anhang: report.txt
Seitenanfang Seitenende
07.05.2008, 02:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo,
scanne mit f-secure + poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.05.2008, 21:45
Krausbua
...neu hier

Themenstarter

Beiträge: 4
#7 er findet nur in c 2 bots, danach bricht er bei M:\ab, obwohl ich nichts im Hintergrund laufen habe (siehe Screenshot)

soll ich Nrton 360 einfach über die beiden drüberlaufen lassen?

Anhang: f-secure.JPG
Seitenanfang Seitenende
07.05.2008, 23:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 sdfix im Normalmodus:

im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 3



wird Sophos geladen - scanne mit option 6 + poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1