Home » Viren, Trojaner & Malware Forum » trojan.vundo - vundofix nützt nicht » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

trojan.vundo - vundofix nützt nicht

01.08.2007, 12:52

flotse

...neu hier

Beiträge: 3

#1 Hi!

Habe offensichtlich den Trojaner Vundo drauf.
Norton meldet:
Virusname: Trojan.Vundo
Datei: C:\WINNT\system32\jkhfd.dll

Vundofix hat leider nicht geholfen (mehrmals versucht), der remover von symantec auch nicht. Die Datei ist noch immer da.

Combofix sagt:
ComboFix 07-07-30.2 - "t54" 01.08.2007 12:21:48.1 [GMT 2:00] - NTFS
Microsoft Windows 2000 Professional 5.0.2195.4.1252.49.1031.18.Wahr

und
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINNT\system32\a.exe

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\nm

((((((((((((((((((((((((( Files Created from 2007-07-01 to 2007-08-01 )))))))))))))))))))))))))))))))

2007-08-01 11:47 51,200 --a------ C:\WINNT\nircmd.exe
2007-08-01 10:35 <DIR> d-------- C:\VundoFix Backups
2007-08-01 10:03 <DIR> d-------- C:\Programme\AmoK
2007-07-19 14:02 126,785 --a------ C:\WINNT\system32\ygkubtey.dll
2007-07-19 13:59 63,306 --a------ C:\WINNT\system32\dchyhmox.dll
2007-07-18 13:54 266,336 --------- C:\WINNT\system32\jkhfd.dll
2007-07-17 10:26 <DIR> d--hs---- C:\WINNT\ftpcache
2007-07-10 10:37 <DIR> d-------- C:\WINNT\system32\SoftwareDistribution
2007-07-09 14:36 <DIR> d-------- C:\Programme\DFHEXEditor

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

07-08-01 12:27 --------- d-------- C:\DOKUME~1\t54\ANWEND~1\nView_Wallpaper
07-07-18 12:54 --------- d-------- C:\Programme\Sony Handheld
07-07-12 13:28 --------- d-------- C:\Programme\DOSBox-0.63
07-06-29 09:40 --------- d-------- C:\DOKUME~1\t54\ANWEND~1\VMware
07-06-29 09:21 --------- d-------- C:\Programme\VMware
07-06-13 16:46 --------- d-------- C:\Programme\SecureCRT 3.0
04-12-05 01:36 271 ---h----- C:\Programme\desktop.ini
04-12-05 01:36 22080 ---h----- C:\Programme\folder.htt

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AD35611D-BC9B-4602-B445-43D0D7987EF8}]
07-07-18 13:54 266336 --------- C:\WINNT\system32\jkhfd.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE67B5AA-B590-4034-98B5-6AEAAF558B95}]
06-09-20 16:19 798720 --a------ C:\Programme\gPhotoShow Toolbar\v3.2.0.0\gPhotoShow_Toolbar.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{28F4A32B-116F-48FD-B4CE-4273852BB730}"= C:\Programme\gPhotoShow Toolbar\v3.2.0.0\gPhotoShow_Toolbar.dll [06-09-20 16:19 798720]

[-HKEY_CLASSES_ROOT\CLSID\{28F4A32B-116F-48FD-B4CE-4273852BB730}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 13:05 C:\WINNT\system32\mobsync.exe]
"nwiz"="nwiz.exe" [04-08-02 21:03 C:\WINNT\system32\nwiz.exe]
"vptray"="C:\Programme\NavNT\vptray.exe" [00-11-03 10:35 ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [05-03-14 10:26 ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [05-06-21 16:06 ]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [07-03-14 03:43 ]
"VirtualCloneDrive"="C:\Programme\VirtualCloneDrive\VCDDaemon.exe" [06-04-29 15:21 ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [04-07-26 20:14 ]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2004-12-09 15:32:54]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26]
HotSync Manager.lnk - C:\Programme\Sony Handheld\HOTSYNC.EXE [2002-08-09 15:36:20]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 10:15:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkhfd]
C:\WINNT\system32\jkhfd.dll 07-07-18 13:54 266336 C:\WINNT\system32\jkhfd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OdysseyClient]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

R0 SonyCLDK;Memory Stick Driver(SonyCLDK);C:\WINNT\system32\DRIVERS\SonyCLDK.sys
R0 VClone;VClone;C:\WINNT\system32\DRIVERS\VClone.sys
R1 Cdr4_2K;Cdr4_2K;C:\WINNT\system32\drivers\Cdr4_2K.sys
R1 Cdralw2k;Cdralw2k;C:\WINNT\system32\drivers\Cdralw2k.sys
R2 ElbyCDIO;ElbyCDIO Driver;C:\WINNT\system32\Drivers\ElbyCDIO.sys
R2 lgtolmd;Legato License Manager;C:\Programme\Legato\nsr\bin\lgtolmd.exe -p "C:\Programme\Legato\nsr\\" -n 1
R2 NAVAPEL;NAVAPEL;\??\C:\Programme\NavNT\NAVAPEL.SYS
R2 nsrexecd;NetWorker Remote Exec Service;C:\Programme\Legato\nsr\bin\nsrexecd.exe
R2 wgppnt;wgppnt;\??\C:\WINNT\system32\drivers\wgppnt.sys
R3 E1000;Intel(R) PRO/1000 Adapter Driver;C:\WINNT\system32\DRIVERS\e1000nt5.sys
R3 ElbyDelay;ElbyDelay;C:\WINNT\system32\Drivers\ElbyDelay.sys
R3 NAVAP;NAVAP;\??\C:\Programme\NavNT\NAVAP.sys
R3 usbhub20;USB-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys
S3 hagentd;NetWorker Host Agent;C:\Programme\Legato\nsr\bin\hagentd.exe
S3 MPE;BDA MPE Filter;C:\WINNT\system32\DRIVERS\MPE.sys
S3 NoiseCtl;NoiseCtl;C:\Programme\Fujitsu Siemens\Xontrol\NoiseCtl.exe
S3 PalmUSBD;PalmUSBD;C:\WINNT\system32\drivers\PalmUSBD.sys
S4 nsrd;NetWorker Backup and Recover Server;C:\Programme\Legato\nsr\bin\nsrd.exe
S4 nsrpm;NetWorker Power Monitor;C:\Programme\Legato\nsr\bin\nsrpm.exe

*Newly Created Service* - SHAREDACCESS

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-01 12:27:19
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-01 12:29:22 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 07-08-01 12:28

--- E O F ---

HJT sagt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:43:40, on 01.08.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\NavNT\rtvscan.exe
C:\Programme\Legato\nsr\bin\nsrexecd.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Legato\nsr\bin\lgtolmd.exe
C:\WINNT\Explorer.EXE
C:\Programme\NavNT\vptray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Sony Handheld\HOTSYNC.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_01\bin\jucheck.exe
C:\WINNT\System32\svchost.exe
C:\Programme\SecureCRT 3.0\SecureCRT.EXE
C:\Programme\SecureCRT 3.0\SecureCRT.exe
D:\etemp\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.kabsi.at/jfae8ffaf/ie-suche.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.kabsi.at:1080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {AD35611D-BC9B-4602-B445-43D0D7987EF8} - C:\WINNT\system32\jkhfd.dll
O2 - BHO: gPhotoShow Toolbar Helper - {AE67B5AA-B590-4034-98B5-6AEAAF558B95} - C:\Programme\gPhotoShow Toolbar\v3.2.0.0\gPhotoShow_Toolbar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: gPhotoShow Toolbar - {28F4A32B-116F-48FD-B4CE-4273852BB730} - C:\Programme\gPhotoShow Toolbar\v3.2.0.0\gPhotoShow_Toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {4F1D0C59-5ECC-4028-87F3-482191D2230F} (AxisRTPSrcFilter) - http://axis.kabsi.at/activex/AMC.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146669687187
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://cams.axis.or.at:88/activex/AxisCamControl.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://81.217.16.209:8000/activex/AMC.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp02.photoprintit.de/microsite/2901/defaults/activex/IPSUploader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: Domain = kabsi.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: NameServer = 195.202.128.2,195.202.128.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: Domain = kabsi.at
O17 - HKLM\System\CS1\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: NameServer = 195.202.128.2,195.202.128.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: Domain = kabsi.at
O17 - HKLM\System\CS2\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: NameServer = 195.202.128.2,195.202.128.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: Domain = kabsi.at
O17 - HKLM\System\CS3\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: NameServer = 195.202.128.2,195.202.128.3
O20 - Winlogon Notify: jkhfd - C:\WINNT\system32\jkhfd.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NetWorker Host Agent (hagentd) - LEGATO Software, a division of EMC. - C:\Programme\Legato\nsr\bin\hagentd.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Legato License Manager (lgtolmd) - LEGATO Software, a division of EMC. - C:\Programme\Legato\nsr\bin\lgtolmd.exe
O23 - Service: NoiseCtl - Fujitsu Siemens Computers - C:\Programme\Fujitsu Siemens\Xontrol\NoiseCtl.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: NetWorker Remote Exec Service (nsrexecd) - LEGATO Software, a division of EMC. - C:\Programme\Legato\nsr\bin\nsrexecd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIb\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIb\RpcSandraSrv.exe

--
End of file - 7425 bytes

und datfind sagt:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 88CD-5545

Verzeichnis von C:\WINNT\system32

01.08.2007 10:55 4.598 nvapps.xml
22.07.2007 18:39 279.552 swreg.exe
19.07.2007 14:02 126.785 ygkubtey.dll
19.07.2007 13:59 63.306 dchyhmox.dll
18.07.2007 13:54 266.336 jkhfd.dll
16.07.2007 07:52 118.152 FNTCACHE.DAT
05.06.2007 23:38 15.747.032 MRT.exe
02.05.2007 08:35 3.964 jupdate-1.6.0_01-b06.log

.
.
.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 88CD-5545

Verzeichnis von C:\DOKUME~1\t54\LOKALE~1\Temp

01.08.2007 12:44 105.558 datfind.txt
01.08.2007 12:43 114.688 ~DF192.tmp
01.08.2007 12:32 291 jusched.log
3 Datei(en) 220.537 Bytes
0 Verzeichnis(se), 4.692.996.096 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 88CD-5545

Verzeichnis von C:\WINNT

01.08.2007 12:27 54.156 QTFont.qfn
01.08.2007 12:26 793.418 WindowsUpdate.log
01.08.2007 12:24 32.542 SchedLgU.Txt
01.08.2007 12:24 1.409 QTFont.for
01.08.2007 10:20 645.552 ShellIconCache
01.08.2007 09:48 72.730 ntbtlog.txt
20.07.2007 00:47 109.056 catchme.exe
19.07.2007 11:16 2.195 Palm OS Emulator.ini
13.07.2007 11:21 595.823 setupapi.log
10.07.2007 10:44 861.160 iis5.log
10.07.2007 10:44 1.429 imsins.log
10.07.2007 10:44 347.624 comsetup.log
10.07.2007 10:44 31.174 KB931784.log
10.07.2007 10:44 327.348 ocgen.log
10.07.2007 10:44 25.367 ockodak.log
10.07.2007 10:44 96.350 updspapi.log
10.07.2007 10:44 1.429 imsins.BAK
10.07.2007 10:44 27.403 KB935839.log
10.07.2007 10:43 25.438 KB935840.log
10.07.2007 10:43 17.629 KB933566-IE6SP1-20070417.120000.log
10.07.2007 10:43 20.486 KB927891.log
10.07.2007 10:43 19.386 KB932168.log
10.07.2007 10:43 18.422 KB930178.log
10.07.2007 10:42 17.403 KB925902.log
10.07.2007 10:42 13.957 KB926436.log
10.07.2007 10:42 13.963 KB918118.log
10.07.2007 10:42 13.694 KB924667.log
10.07.2007 10:42 12.662 KB928843.log
10.07.2007 10:42 4.685 KB929969-IE6SP1-20061220.120000.log
09.07.2007 14:32 1.045 win.ini
04.07.2007 09:31 231 system.ini
17.06.2007 00:11 51.200 nircmd.exe
13.06.2007 09:08 253.685 wmsetup.log
11.06.2007 15:31 116 NeroDigital.ini
06.06.2007 11:39 869 otb99.ini
02.05.2007 08:07 559 DtcInstall.log

.
.
.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 88CD-5545

Verzeichnis von C:\WINNT\temp

.
.
.
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 88CD-5545

Verzeichnis von C:\WINNT\Downloaded Program Files

09.11.2006 17:04 896 jinstall-1_5_0_10.inf
12.09.2005 09:46 403.048 imloader.exe
30.08.2005 11:41 1.828.464 IPSUploader.ocx
27.08.2005 14:30 5.065 swflash.inf
06.07.2005 15:10 399 setup.inf
02.06.2005 17:34 321 IPSUploader.inf
26.05.2005 04:19 291 wuweb.inf

22 Datei(en) 2.829.186 Bytes
0 Verzeichnis(se), 4.692.979.712 Bytes frei
.
.
.

wäre super, wenn ihr mir weiterhelfen könntet

01.08.2007, 15:35

Chris4You

Member

Beiträge: 694

#2 Hi,

bitte das hier abarbeiten, dabei wird auch Adware gelöscht (gPhotoShow Toolbar Helper);
Kennst Du das hier:
http://axis.kabsi.at/activex/AMC.cab

Wenn nein: über HJ fixen!

Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AD35611D-BC9B-4602-B445-43D0D7987EF8}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkhfd

Files to delete:
C:\WINNT\system32\ygkubtey.dll
C:\WINNT\system32\dchyhmox.dll
C:\WINNT\system32\jkhfd.dll
C:\WINNT\system32\swreg.exe
C:\Programme\gPhotoShow Toolbar\v3.2.0.0\gPhotoShow_Toolbar.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat

O2 - BHO: (no name) - {AD35611D-BC9B-4602-B445-43D0D7987EF8} - C:\WINNT\system32\jkhfd.dll
O2 - BHO: gPhotoShow Toolbar Helper - {AE67B5AA-B590-4034-98B5-6AEAAF558B95} - C:\Programme\gPhotoShow Toolbar\v3.2.0.0\gPhotoShow_Toolbar.dll
O3 - Toolbar: gPhotoShow Toolbar - {28F4A32B-116F-48FD-B4CE-4273852BB730} - C:\Programme\gPhotoShow Toolbar\v3.2.0.0\gPhotoShow_Toolbar.dll
O16 - DPF: {4F1D0C59-5ECC-4028-87F3-482191D2230F} (AxisRTPSrcFilter) - http://axis.kabsi.at/activex/AMC.cab
O20 - Winlogon Notify: jkhfd - C:\WINNT\system32\jkhfd.dll

Scanne anschließend mit Cureit
ZAnleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

Ist das hier Dein Provider?:kabsi.at

Poset alle Logs und ein neues HJ-Log, nennen vorher die HJ-EXE auf test.com um.

Chris

Dieser Beitrag wurde am 01.08.2007 um 15:39 Uhr von Chris4You editiert.

01.08.2007, 16:31

flotse

...neu hier

Themenstarter

Beiträge: 3

#3 WAHNSINN
hat wirklich funktioniert (beim 2.mal avenger + hjt)
ALLERbesten dank!!!
norton schreit nicht mehr, cureit hat auch nichts gefunden (ging aber ziemlich schnell)
kabsi.at ist mein provider, ja.

letztes log vom hjt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:22:34, on 01.08.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\NavNT\rtvscan.exe
C:\Programme\Legato\nsr\bin\nsrexecd.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Legato\nsr\bin\lgtolmd.exe
C:\WINNT\Explorer.EXE
C:\Programme\NavNT\vptray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\VirtualCloneDrive\VCDDaemon.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Sony Handheld\HOTSYNC.EXE
D:\etemp\HiJackThis\test.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.kabsi.at/jfae8ffaf/ie-suche.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.kabsi.at:1080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {FF41836E-6A94-4F87-86B8-836AE4EAE4FA} - C:\WINNT\system32\jkhfd.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146669687187
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://cams.axis.or.at:88/activex/AxisCamControl.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://81.217.16.209:8000/activex/AMC.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp02.photoprintit.de/microsite/2901/defaults/activex/IPSUploader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: Domain = kabsi.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: NameServer = 195.202.128.2,195.202.128.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: Domain = kabsi.at
O17 - HKLM\System\CS1\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: NameServer = 195.202.128.2,195.202.128.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: Domain = kabsi.at
O17 - HKLM\System\CS2\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: NameServer = 195.202.128.2,195.202.128.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: Domain = kabsi.at
O17 - HKLM\System\CS3\Services\Tcpip\..\{8EF72C87-5C28-4865-B129-74BD2193C27B}: NameServer = 195.202.128.2,195.202.128.3
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NetWorker Host Agent (hagentd) - LEGATO Software, a division of EMC. - C:\Programme\Legato\nsr\bin\hagentd.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Legato License Manager (lgtolmd) - LEGATO Software, a division of EMC. - C:\Programme\Legato\nsr\bin\lgtolmd.exe
O23 - Service: NoiseCtl - Fujitsu Siemens Computers - C:\Programme\Fujitsu Siemens\Xontrol\NoiseCtl.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: NetWorker Remote Exec Service (nsrexecd) - LEGATO Software, a division of EMC. - C:\Programme\Legato\nsr\bin\nsrexecd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIb\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIb\RpcSandraSrv.exe

01.08.2007, 17:04

Chris4You

Member

Beiträge: 694

#4 Hi,

hat leider nicht alles funktionier,die

O2 - BHO: (no name) - {FF41836E-6A94-4F87-86B8-836AE4EAE4FA} - C:\WINNT\system32\jkhfd.dll (file missing)

ist noch da (allerdings nur der Eintrag).
Fixe noch mal mit HJ und prüfe dann ob der Eintrag noch da ist
(Sollte nicht schlimm sein, solange das File tatsächlich gelöscht ist)...

Chris

Ps:
Backups von Avenger&Co löschen (da sind die Trojaner drin ;o):

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren

01.08.2007, 17:24

flotse

...neu hier

Themenstarter

Beiträge: 3

#5 ja, der eintrag in hjt war beim 2.mal noch da, habs dann nochmal gefixt. weiß nicht, warum das im log noch aufgetaucht ist, ist jetzt jedenfalls nicht mehr da.

die backupfiles hab ich gelöscht, papierkorb ist auch leer.

Besten Dank nochmals, und liebe Grüße aus .at

02.03.2009, 13:04

butty

...neu hier

Beiträge: 2

#6 ich bekomm auch ständig die meldung vom freeAV mit dem Vundo virus, löschen kann ers aber anscheinend nicht und VundoFix findet gar nichts :/

hab jetzt mal mitm HJT gescant und hier is der log:

Code

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:51:53, on 02.03.2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files (x86)\DNA\btdna.exe
C:\Program Files (x86)\BUFFALO\NASNAVI\nassche.exe
C:\Windows\SysWOW64\CTHELPER.EXE
C:\Windows\SysWOW64\CTXFIHLP.EXE
C:\Program Files (x86)\Acronis\TrueImageWorkstation\TrueImageMonitor.exe
C:\Program Files (x86)\Acronis\TrueImageWorkstation\TimounterMonitor.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Windows\SysWOW64\CTXFISPI.EXE
C:\Program Files (x86)\CyberLink\Shared Files\brs.exe
C:\Program Files (x86)\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Windows\SysWOW64\rundll32.exe
L:\download\HiJackThis\HijackThis.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [AsioThk32Reg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files (x86)\Acronis\TrueImageWorkstation\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files (x86)\Acronis\TrueImageWorkstation\TimounterMonitor.exe
O4 - HKLM\..\Run: [chkhbci] C:\Windows\system32\chkhbcin.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Program Files (x86)\FileZilla\Server\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [BDRegion] "C:\Program Files (x86)\Cyberlink\Shared Files\brs.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files (x86)\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files (x86)\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files (x86)\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\qoMCTlKA.dll,#1
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Steam] "C:\games\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Pidgin] C:\Program Files (x86)\Pidgin\pidgin.exe
O4 - HKCU\..\Run: [Winamp controller for g15] C:\Download\G15 Applets\Winamp\Winamp Controller for G15.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files (x86)\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: BUFFALO NAS Navigator.lnk = C:\Program Files (x86)\BUFFALO\NASNAVI\NasNavi.exe
O4 - Startup: NAS Scheduler.lnk = C:\Program Files (x86)\BUFFALO\NASNAVI\nassche.exe
O4 - Startup: Xfire.lnk = C:\Program Files (x86)\Xfire\xfire.exe
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC0E1D4A-CA56-4529-86B6-845989CCE359}: NameServer = 10.10.0.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files (x86)\FileZilla\Server\FileZilla Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: NAS PM Service (NasPmService) - BUFFALO INC. - C:\Program Files (x86)\BUFFALO\NASNAVI\nassvc.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: Synergy Server - Unknown owner - C:\Program Files (x86)\Synergy\synergys.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9901 bytes

kann mir da wer sagen ob der Vundo überhaupt drauf ist oder mir der AV nur ne falsche meldung bringt?

02.03.2009, 13:57

virenfinder

Member

Beiträge: 3716

#7 hallo und wikkommen an board ;-)
http://board.protecus.de/t23188.htm
genau abarbeiten und logs posten.

04.03.2009, 12:59

butty

...neu hier

Beiträge: 2

#8 danke! ...ich glaub mit Malewarebytes allein hats scho geholfen den virus zu entfernen ....Danke!!

04.03.2009, 13:11

virenfinder

Member

Beiträge: 3716

#9 hallo, bitte poste alle logs! nur weil die symtome weg sind, heißt es nihct, dass alles ok ist!

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1