vundo.gen + spy.vbstat.b.1

#0
24.04.2007, 15:09
...neu hier

Beiträge: 2
#1 hallo, ihr profis,

bin absoluter laie und habe o.g. trojaner auf meinem pc. vielleicht könnt ihr mir helfen. ich hoffe, daß ich mit log-file kopieren usw. klar komme. bin auch das erste mal in einem forum, also bitte nicht lachen.

habe von sabina vom dez. 06 die problembehandlung gelesen, weiß aber nicht, ob ich die ohne weiteres auf mein problem anwenden kann?

außerdem kann ich die log-files nicht kopieren. sobald ich save-log anklicke, verschwindet die sicherung irgendwo?
Seitenanfang Seitenende
24.04.2007, 15:40
Moderator

Beiträge: 7805
#2 WIchtig sind die Punkte 1 und 3 aus diesem Thread: http://board.protecus.de/t23187.htm wobei du Punkt3 als erstes machen solltest. Nach einem neustart solltest du alle Reporte erstellen und posten koennen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.04.2007, 18:53
...neu hier

Themenstarter

Beiträge: 2
#3 hallo raman,

der pc läuft nach "nr. 3" deutlich schneller, wenngleich er eine datei (namen habe ich mir leider nicht gemerkt) nicht finden konnte. nach restart konnte ich nachfolgende log-files sichern. ich mach jetzt einfach mal mit den anderen punkten weiter - oder soll ich erst den hijackthis-analyst abwarten?

Logfile of HijackThis v1.99.1
Scan saved at 18:46, on 07-04-24
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\spoolvc.exe
C:\WINNT\system32\spoolvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\ute\Desktop\HijackThis.exe
C:\WINNT\system32\tftp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: (no name) - {842D4C29-0BB8-42FD-8C26-DB3B737C5A07} - C:\WINNT\System32\vtutt.dll (file missing)
O2 - BHO: (no name) - {AF1CC022-0228-42AE-912D-0CE89CD6559D} - C:\WINNT\System32\opnnmlm.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.exe
O4 - HKLM\..\Run: [khooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE3D5C62-46B0-475B-AF91-03E4081EA1AD}: NameServer = 62.27.27.62 195.247.247.195
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Client Debug Manager - Unknown owner - C:\WINNT\system32\spoolvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Logon Engine - Unknown owner - C:\WINNT\system32\spoolvc.exe
Seitenanfang Seitenende
24.04.2007, 19:35
Moderator

Beiträge: 7805
#4 Wau! Da brauchst du nichts abzuwarten, dein System ist komplett ungepatcht! (Es gibt bereits ein SP4 fuer Windows2000!)

Das dieser Prozess laeuft bedeutet, das neue Malware auf deinen PC geschaufelt wird: C:\WINNT\system32\tftp.exe

Diese Datei C:\WINNT\system32\spoolvc.exe ist wohl ein Backdoor. Teste sie bitte bei Jotti/VT oder wenn die mal wieder ueberlastet sind schicke die Datei gepackt und mit Passwort versehen an virus@protecus.de

Achso, im Grunde wirst du wohl nicht an ein neu aufsetzen vorbeikommen: http://board.protecus.de/t13020.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: