Wie entferne ich den Vundo.gen? |
||
---|---|---|
#0
| ||
03.09.2006, 17:06
...neu hier
Beiträge: 1 |
||
|
||
03.09.2006, 18:11
Ehrenmitglied
Beiträge: 29434 |
#17
slimbo
1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT42. Vundofix anwenden http://virus-protect.org/artikel/tools/vundofixx.html poste das log 3. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten poste das log vom avenger, was erscheint ** Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k ** scanne und poste den scanreport http://virus-protect.org/artikel/tools/superantispyware.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.09.2006, 18:29
Ehrenmitglied
Beiträge: 29434 |
#18
porkana
da ist ein haxdoor drauf http://virus-protect.org/artikel/dienste/sysbus32_sys.html ------------------------------------------------------ poste bitte das log - bitte hier und nicht als pdf RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html Zitat Scanning type: Scan system for viruses, rootkits, spyware __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.09.2006, 18:44
Ehrenmitglied
Beiträge: 29434 |
#19
varius
1. poste das log http://virus-protect.org/artikel/tools/combofix.html 2. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 3. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.09.2006, 19:30
...neu hier
Beiträge: 4 |
#20
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\rdanttcq ******************* Script file located at: \??\C:\lucscirt.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\abeeg.bak1 deleted successfully. File C:\WINDOWS\system32\geeba.dll deleted successfully. File C:\WINDOWS\system32\abeeg.ini deleted successfully. File C:\WINDOWS\system32\abeeg.bak2 deleted successfully. File C:\WINDOWS\system32\36631ca.exe not found! Deletion of file C:\WINDOWS\system32\36631ca.exe failed! Could not process line: C:\WINDOWS\system32\36631ca.exe Status: 0xc0000034 File C:\Dokumente und Einstellungen\slimbomania\Lokale Einstellungen\Anwendungsdaten\36631ca.exe not found! Deletion of file C:\Dokumente und Einstellungen\slimbomania\Lokale Einstellungen\Anwendungsdaten\36631ca.exe failed! Could not process line: C:\Dokumente und Einstellungen\slimbomania\Lokale Einstellungen\Anwendungsdaten\36631ca.exe Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeba deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wincqt32 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\36631ca.exe deleted successfully. Completed script processing. ******************* Finished! Terminate. ----------------------- SUPERAntiSpyware Scan Log Generated 09/03/2006 at 07:16 PM Core Rules Database Version : 3072 Trace Rules Database Version: 1111 Memory Thread detected : 0 Registry Thread detected : 4 File Thread detected : 7 Trojan.WinFixer HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AD6C1B34-E3DE-4B74-BD03-DADC7A0E0F68} HKCR\CLSID\{AD6C1B34-E3DE-4B74-BD03-DADC7A0E0F68} HKCR\CLSID\{AD6C1B34-E3DE-4B74-BD03-DADC7A0E0F68}\InprocServer32 HKCR\CLSID\{AD6C1B34-E3DE-4B74-BD03-DADC7A0E0F68}\InprocServer32#ThreadingModel C:\WINDOWS\system32\geeba.dll Adware.Tracking Cookie C:\Dokumente und Einstellungen\slimbomania\Cookies\slimbomania@stats1.reliablestats[2].txt C:\Dokumente und Einstellungen\slimbomania\Cookies\slimbomania@indexstats[2].txt C:\Dokumente und Einstellungen\slimbomania\Cookies\slimbomania@atdmt[2].txt C:\Dokumente und Einstellungen\slimbomania\Cookies\slimbomania@cgi-bin[2].txt C:\Dokumente und Einstellungen\slimbomania\Cookies\slimbomania@ad.yieldmanager[2].txt C:\Dokumente und Einstellungen\slimbomania\Cookies\slimbomania@weborama[2].txt Danke sehr schonmal für die Hilfe! Hast mir echt geholfen |
|
|
||
03.09.2006, 19:39
Ehrenmitglied
Beiträge: 29434 |
#21
slimbo
buegel noch mit panda und bitdefender drueber und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.09.2006, 20:03
...neu hier
Themenstarter Beiträge: 6 |
#22
Sorry, mit dem RootkitRevealer bin ich nicht klargekommen.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 03.09.2006 19:14 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 03.09.2006 19:14 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\LastTraceFailure 03.09.2006 19:14 4 bytes Data mismatch between Windows API and raw hive data. E: 01.01.1601 02:00 0 bytes Error mounting volume Hier habe ich dann abgebrochen. Logfile of HijackThis v1.99.1 Scan saved at 19:59:22, on 03.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\PFU\ScanSnap!\PDF Thumbnail View\pdfquickview.exe C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Cerience\RepliGo\RepliGoMon.exe C:\Programme\PFU\ScanSnap!\CardMinder\bcd_file\SbCRecE.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Gemeinsame Dateien\DataViz\DvzIncMsgr.exe C:\Programme\PFU\ScanSnap!\Driver\PfuSsMon.exe C:\Programme\Palm\HOTSYNC.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Neuer Ordner\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.fonata.box O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Pdfquickview] C:\Programme\PFU\ScanSnap!\PDF Thumbnail View\pdfquickview.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CardMinder] C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RepliGo Assistant] "C:\Programme\Cerience\RepliGo\RepliGoMon.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE O4 - Startup: ScanSnap! Monitor.lnk = C:\Programme\PFU\ScanSnap!\Driver\PfuSsMon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Programme\Gemeinsame Dateien\DataViz\DvzIncMsgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ScanSnap! Monitor.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AC336FB4-CF2D-49B5-A64E-46B71D7EDA2C}: NameServer = 192.168.1.1 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe Gruß Gerhard |
|
|
||
03.09.2006, 20:08
Ehrenmitglied
Beiträge: 29434 |
#23
porkana
1. ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren 2. Avenger http://virus-protect.org/artikel/tools/avenger.html Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.09.2006, 21:39
...neu hier
Themenstarter Beiträge: 6 |
#24
The script did not recognize the services listed below.
This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 Service Pack 2 Sep 3, 2006 20:46:35 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: AntiVirScheduler Display Name: AntiVir Scheduler Start Mode: Auto Start Name: LocalSystem Description: Dienst zur Planung und Steuerung von Prüf- und Updateaufgaben der AntiVir PersonalEdition ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\sched.exe State: Running Process ID: 1820 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 2 Service Name: AntiVirService Display Name: AntiVir PersonalEdition Classic Service Start Mode: Auto Start Name: LocalSystem Description: Echtzeit Virenschutz durch H+BEDV AntiVir ... Hier isser: Service Type: Own Process Path: c:\programme\antivir personaledition classic\avguard.exe State: Running Process ID: 1832 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr ---> End Service Listing <--- There are 79 Win32 services on this machine. 2 were unrecognized. Script Execution Time: 2,59375 seconds. poste das log vom avenger: Ist mir leider "entglitten"! MfG Gerhard (Und vielen Dank für die Mühe!) |
|
|
||
03.09.2006, 22:07
Ehrenmitglied
Beiträge: 29434 |
#25
porkana
scanne und berichte...vielleicht ist noch was vom Mailvirus auf dem Rechner..... Trend-Micro/HouseCall + kaspersky http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Scan saved at 16:41:26, on 03.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\SPYWAREfighter\Spywarefighter.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\User\Eigene Dateien\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eselfilme.com/index2.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {B8266AEC-8690-47D9-A62A-0DB062982B4B} - C:\WINDOWS\system32\geebc.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NI.UWA6PU_0001_N91M2107] "c:\dokumente und einstellungen\user\anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe" -nag
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spfprc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\progra~1\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: RegFreeze.lnk = C:\Programme\RegFreeze\regfreeze.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {72E66D6F-8D0D-47C0-B926-5672512E4B8A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {72E66D6F-8D0D-47C0-B926-5672512E4B8A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{92EDECD8-896F-4A98-B7EC-4A8EBBD11C1E}: NameServer = 213.191.74.11 213.191.92.82
O20 - Winlogon Notify: geebc - C:\WINDOWS\system32\geebc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: wintuh32 - wintuh32.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Bitte Bitte dann schreibt mir bitte.