TR/Vundo.Gen nicht löschbar??

#1 Seit einigen Tagen ist mein Computer mit Vundo.Gen infiziert. Alle 10 Sekunden kommt eine Meldung von Antivir- allerdings kann es das Ding auch nicht löschen.
Ich habe auch schon in einigen Foren rumgestöbert, allerdings kann ich damit nicht sehr viel anfangen. Ich hoffe ich werde das DIng los, indem ich mich an euch wende.
Was muss ich machen?? Hoffe auf schnelle Hilfe
Danke

#2 Hi,

Vundofix anwenden
http://www.virus-protect.org/artikel/tools/vundofixx.html
Poste das Log...

Danach das hier abarbeiten:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html)
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

chris

#3 Vundofix sagt, dass keine infizierten Dateien gefunden wurden.
Wie kann das sein??
Soll ich trotzdem mit den anderen Punkten fortfahren?

#4 Hi,

vielleicht eine neue Art oder eine Fehlmeldung von Avira...
Wir werden sehen, den Rest bitte auch noch abarbeiten... sonst kommen wir nicht weiter!

Chris

#5 Der Log von Combofix:

ComboFix 07-11-19.3 - Sascha 2007-11-23 17:11:30.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1033.18.573 [GMT 3:00]
Running from: C:\Documents and Settings\Sascha\Desktop\ComboFix.exe
* Created a new restore point
.

Unable to gain System Privileges

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot
C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Log\2007 Nov 23 - 03_39_39 PM_640.log
C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Log\2007 Nov 23 - 03_39_52 PM_187.log
C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Log\2007 Nov 23 - 03_39_57 PM_734.log
C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\rs.dat
C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Settings\CustomScan.stg
C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Settings\IgnoreList.stg
C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Settings\ScanInfo.stg
C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Settings\ScanResults.stg
C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Settings\SelectedFolders.stg
C:\Documents and Settings\Sascha\Application Data\AntiSpywareBot\Settings\Settings.stg
C:\Program Files\FunWebProducts
C:\Program Files\FunWebProducts\Shared\Cache\AvatarSmallBtn.html
C:\Program Files\FunWebProducts\Shared\Cache\CursorManiaBtn.html
C:\Program Files\FunWebProducts\Shared\Cache\FunBuddyIconBtn.html
C:\Program Files\FunWebProducts\Shared\Cache\MyFunCardsIMBtn.html
C:\Program Files\FunWebProducts\Shared\Cache\SmileyCentralBtn.html
C:\Program Files\internet explorer\msimg32.dll
C:\Program Files\MyWebSearch
C:\Program Files\MyWebSearch\bar\1.bin\F3HTMLMU.DLL
C:\Program Files\MyWebSearch\bar\1.bin\M3HTML.DLL
C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
C:\Program Files\MyWebSearch\bar\1.bin\MWSOEPLG.DLL
C:\Program Files\MyWebSearch\bar\1.bin\MWSOESTB.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3BKGERR.JPG
C:\Program Files\MyWebSearch\bar\2.bin\F3BROVLY.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3CJPEG.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3DTACTL.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3HISTSW.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3HTMLMU.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3HTTPCT.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3IMSTUB.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3POPSWT.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3PSSAVR.SCR
C:\Program Files\MyWebSearch\bar\2.bin\F3REPROX.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3RESTUB.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3SCHMON.EXE
C:\Program Files\MyWebSearch\bar\2.bin\F3SCRCTR.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3SHLLVW.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3SPACER.WMV
C:\Program Files\MyWebSearch\bar\2.bin\F3WALLPP.DAT
C:\Program Files\MyWebSearch\bar\2.bin\F3WPHOOK.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3FFXTBR.JAR
C:\Program Files\MyWebSearch\bar\2.bin\M3FFXTBR.MANIFEST
C:\Program Files\MyWebSearch\bar\2.bin\M3HTML.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3IDLE.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3IMPIPE.EXE
C:\Program Files\MyWebSearch\bar\2.bin\M3MSG.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3NTSTBR.JAR
C:\Program Files\MyWebSearch\bar\2.bin\M3NTSTBR.MANIFEST
C:\Program Files\MyWebSearch\bar\2.bin\M3OUTLCN.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3PLUGIN.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3SKIN.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3SKPLAY.EXE
C:\Program Files\MyWebSearch\bar\2.bin\M3SLSRCH.EXE
C:\Program Files\MyWebSearch\bar\2.bin\M3SRCHMN.EXE
C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL
C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE
C:\Program Files\MyWebSearch\bar\2.bin\MWSOEPLG.DLL
C:\Program Files\MyWebSearch\bar\2.bin\MWSOESTB.DLL
C:\Program Files\MyWebSearch\bar\2.bin\NPMYWEBS.DLL
C:\Program Files\MyWebSearch\bar\Avatar\COMMON.F3S
C:\Program Files\MyWebSearch\bar\Cache\0070BCA8.bin
C:\Program Files\MyWebSearch\bar\Cache\0070E638.bin
C:\Program Files\MyWebSearch\bar\Cache\0070E8C9.bin
C:\Program Files\MyWebSearch\bar\Cache\0070EC82.bin
C:\Program Files\MyWebSearch\bar\Cache\0070F04A.bin
C:\Program Files\MyWebSearch\bar\Cache\0070F358
C:\Program Files\MyWebSearch\bar\Cache\007353AE.bin
C:\Program Files\MyWebSearch\bar\Cache\007356EA.bin
C:\Program Files\MyWebSearch\bar\Cache\007358FD.bin
C:\Program Files\MyWebSearch\bar\Cache\007366A9.bin
C:\Program Files\MyWebSearch\bar\Cache\0160202A
C:\Program Files\MyWebSearch\bar\Cache\files.ini
C:\Program Files\MyWebSearch\bar\Game\CHECKERS.F3S
C:\Program Files\MyWebSearch\bar\Game\CHESS.F3S
C:\Program Files\MyWebSearch\bar\Game\REVERSI.F3S
C:\Program Files\MyWebSearch\bar\History\search2
C:\Program Files\MyWebSearch\bar\icons\CM.ICO
C:\Program Files\MyWebSearch\bar\icons\MFC.ICO
C:\Program Files\MyWebSearch\bar\icons\PSS.ICO
C:\Program Files\MyWebSearch\bar\icons\SMILEY.ICO
C:\Program Files\MyWebSearch\bar\icons\WB.ICO
C:\Program Files\MyWebSearch\bar\icons\ZWINKY.ICO
C:\Program Files\MyWebSearch\bar\Message\COMMON.F3S
C:\Program Files\MyWebSearch\bar\Notifier\COMMON.F3S
C:\Program Files\MyWebSearch\bar\Notifier\DOG.F3S
C:\Program Files\MyWebSearch\bar\Notifier\FISH.F3S
C:\Program Files\MyWebSearch\bar\Notifier\KUNGFU.F3S
C:\Program Files\MyWebSearch\bar\Notifier\LIFEGARD.F3S
C:\Program Files\MyWebSearch\bar\Notifier\MAID.F3S
C:\Program Files\MyWebSearch\bar\Notifier\MAILBOX.F3S
C:\Program Files\MyWebSearch\bar\Notifier\OPERA.F3S
C:\Program Files\MyWebSearch\bar\Notifier\ROBOT.F3S
C:\Program Files\MyWebSearch\bar\Notifier\SEDUCT.F3S
C:\Program Files\MyWebSearch\bar\Notifier\SURFER.F3S
C:\Program Files\MyWebSearch\bar\Settings\prevcfg2.htm
C:\Program Files\MyWebSearch\bar\Settings\s_pid.dat
C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
C:\WINDOWS\system32\aybeg.ini
C:\WINDOWS\system32\aybeg.ini2
C:\WINDOWS\system32\f3PSSavr.scr
C:\WINDOWS\system32\gebya.dll
C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job

.
((((((((((((((((((((((((( Files Created from 2007-10-23 to 2007-11-23 )))))))))))))))))))))))))))))))
.

2007-11-23 16:34 <DIR> d-------- C:\VundoFix Backups
2007-11-22 19:28 <DIR> d-------- C:\Documents and Settings\Sascha\Application Data\Quark
2007-11-22 19:20 <DIR> d-------- C:\Program Files\Quark
2007-11-21 18:41 <DIR> d-------- C:\Program Files\CrossADe
2007-11-21 18:41 <DIR> d-------- C:\Documents and Settings\Sascha\Application Data\Cross+A
2007-11-20 18:34 37,376 --------- C:\WINDOWS\system32\byxxyya.dll
2007-11-20 15:37 <DIR> d-------- C:\games
2007-11-17 16:20 2,841,064 --a------ C:\Shockwave_Installer_Slim.exe
2007-11-17 16:04 <DIR> d-------- C:\Program Files\Norton Security Scan
2007-11-17 16:03 <DIR> d-------- C:\Program Files\Google
2007-11-10 19:11 6,114 --a------ C:\WINDOWS\system32\SHELLLNK.TLB
2007-11-08 19:55 <DIR> d-------- C:\Program Files\StuffPlug3
2007-11-08 19:55 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2007-11-08 19:52 <DIR> d-------- C:\Program Files\Windows Live
2007-11-08 19:52 <DIR> d-------- C:\Program Files\Messenger Plus! Live
2007-11-04 17:51 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-11-04 17:51 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-11-04 17:51 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-11-04 14:32 <DIR> d-------- C:\Program Files\America's Army Server Manager
2007-10-30 17:01 <DIR> d-------- C:\WIN-MAZ
2007-10-30 16:06 <DIR> d-------- C:\WINFKT
2007-10-30 16:01 <DIR> d-------- C:\METATRAI
2007-10-30 15:59 <DIR> d-------- C:\WINCHEM
2007-10-30 15:57 462,848 -ra------ C:\WINDOWS\system32\Nmw3vwn.dll
2007-10-30 15:57 240,640 -ra------ C:\WINDOWS\system32\Nmocod.dll
2007-10-30 15:57 169,472 -ra------ C:\WINDOWS\system32\Html.ocx
2007-10-30 15:57 66,560 -ra------ C:\WINDOWS\system32\Nmorenu.dll
2007-10-30 15:57 48,128 -ra------ C:\WINDOWS\system32\Nmsckn.dll
2007-10-29 15:56 <DIR> d-------- C:\Documents and Settings\Sascha\Application Data\Microsoft Web Folders
2007-10-27 15:30 <DIR> d-------- C:\Program Files\Macrogaming

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-21 15:32 --------- d-----w C:\Documents and Settings\Sascha\Application Data\LimeWire
2007-11-08 16:55 --------- d-----w C:\Program Files\MSN Messenger
2007-11-06 13:40 --------- d-----w C:\Documents and Settings\111\Application Data\LimeWire
2007-11-04 10:55 --------- d-----w C:\Program Files\ICQToolbar
2007-10-31 11:29 --------- d-----w C:\Program Files\BitTorrent_DNA
2007-10-31 11:27 --------- d-----w C:\Documents and Settings\Sascha\Application Data\BitTorrent DNA
2007-10-29 13:01 --------- d-----w C:\Program Files\microsoft frontpage
2007-10-11 12:39 --------- d-----w C:\Documents and Settings\111\Application Data\Corel
2007-10-09 13:27 --------- d-----w C:\Program Files\Zoom Player
2007-10-02 13:15 --------- d-----w C:\Program Files\Common Files\Download Manager
2007-10-01 11:59 --------- d-----w C:\Documents and Settings\Sascha\Application Data\Corel
2007-09-29 12:40 --------- d-----w C:\Program Files\Maxis
2007-09-27 17:13 --------- d-----w C:\Program Files\ICQLite
2007-09-27 15:34 12,400 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-09-27 10:10 8,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-09-27 09:49 --------- d-----w C:\Program Files\Corel
2007-09-27 09:49 --------- d-----w C:\Program Files\Common Files\Corel
2007-09-26 16:21 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-09-26 16:20 --------- d-----w C:\Program Files\MSXML 4.0
2007-09-26 08:01 --------- d-----w C:\Program Files\CheckPoint
2007-09-24 11:47 96,256 ----a-w C:\WINDOWS\system32\drivers\sptd6189.sys
2003-07-25 08:42 176,128 ----a-w C:\Program Files\ddxgb.exe
2006-11-15 17:39 56 --sh--r C:\WINDOWS\system32\33A40ECA1D.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ED203331-9C33-49D8-8714-D24A366A04EC}]
2007-11-20 18:34 37376 --------- C:\WINDOWS\system32\byxxyya.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:56]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-11-17 16:03]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="atiptaxx.exe" [2006-02-22 04:05 C:\WINDOWS\system32\atiptaxx.exe]
"ddxgb"="C:\Program Files\ddxgb.exe" [2003-07-25 11:42]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-13 15:37]
"NeroFilterCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 11:50]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 16:41]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 18:58]
"iTunesHelper"="E:\itunes\iTunesHelper.exe" [2006-10-30 09:36]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]
"PCSuiteTrayApplication"="D:\PROGRA~2\Nokia\NOKIAP~1\LAUNCH~1.exe" [2006-06-15 11:36]
"ISUSPM Startup"="C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 15:30]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 15:30]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2004-08-03 23:56]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Adobe Reader - Schnellstart.lnk - D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26]
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2004-11-29 19:55:44]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 11:15:54]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

[hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{ED203331-9C33-49D8-8714-D24A366A04EC}"= C:\WINDOWS\system32\byxxyya.dll [2007-11-20 18:34 37376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxxyya]
byxxyya.dll 2007-11-20 18:34 37376 C:\WINDOWS\system32\byxxyya.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify]
ckpNotify.dll 2007-01-30 08:18 24674 C:\WINDOWS\system32\ckpNotify.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\gebya.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 Amsmpu4p;Amsmpu4p;\??\C:\WINDOWS\System32\Drivers\Amsmpu4p.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 FW1;SecuRemote Miniport;C:\WINDOWS\system32\DRIVERS\fw.sys
R2 CP_OMDRV;Check Point Office Mode Module;C:\WINDOWS\system32\drivers\omdrv.sys
R2 Scap;SecureClient Application Policy Module;C:\WINDOWS\system32\DRIVERS\Scap.sys
R2 VNASC;Check Point Virtual Network Adapter - SecureClient;C:\WINDOWS\system32\DRIVERS\vnasc.sys
R2 VPN-1;VPN-1 Module;C:\WINDOWS\system32\drivers\vpn.sys
R3 ADM8511;ADMtek ADM8511/AN986 USB To Fast Ethernet Converter;C:\WINDOWS\system32\DRIVERS\ADM8511.SYS
S1 ATITool;ATITool Overclocking Utility;C:\WINDOWS\system32\DRIVERS\ATITool.sys
S3 OMVA;VPN-1 SecureClient Adapter;C:\WINDOWS\system32\DRIVERS\OMVA.sys
S4 ifp700;iriver Internet Audio Player IFP-700;C:\WINDOWS\system32\Drivers\ifp700.sys

.
Contents of the 'Scheduled Tasks' folder
"2007-11-18 14:56:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2007-11-17 13:04:55 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Program Files\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-23 17:26:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-23 17:29:41 - machine was rebooted
.
--- E O F ---

#6 Hi,

HJ-Log fehlt, bitte nachreichen!

Bitte folgende Files prüfen:

Zitat

C:\Program Files\ddxgb.exe
C:\WINDOWS\system32\gebya.dll
C:\WINDOWS\system32\byxxyya.dll

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Poste die Logs mit Filenamen, das letzte sollte eigentlich klar sein (falls es nicht erkannt wird, NICHT weitermachen!)

Bisher bereits erkennbar:
C:\WINDOWS\system32\byxxyya.dll

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxxyya

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\byxxyya.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Chris

#7 Die anderen Logs hier:
Der Datfind Log ist im Anhang

Hijackthis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:37:46, on 23.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
E:\itunes\iTunesHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\Program Files\FolderSizeSvc.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
D:\Program Files\Opera\Opera.exe
C:\Documents and Settings\Sascha\Desktop\Hijack\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.apeha.ru
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {ED203331-9C33-49D8-8714-D24A366A04EC} - C:\WINDOWS\system32\byxxyya.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ddxgb] C:\Program Files\ddxgb.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\PROGRA~2\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
O8 - Extra context menu item: Senden an &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://213.70.229.154/tsweb/msrdp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B583DAC-297B-4D3B-8A38-74F1CF507722}: NameServer = 195.34.32.116 212.188.4.10
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: byxxyya - C:\WINDOWS\SYSTEM32\byxxyya.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Folder Size (FolderSize) - Brio - D:\Program Files\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7926 bytes

#8 Hi,

Ok, hast Du das Scripts mittlerweile schon ausgeführt?
Online bitte ebenfalls noch die 3B55C55923.sys scannen!

Chris

#9 Hi,

Bin grade am überprüfen der Dateien online. Werde dann die Ergebnise posten. eines habe ich schon (dauerte etwas)

C:\Program Files\ddxgb.exe :

Datei ddxgb.exe empfangen 2007.11.23 15:55:24 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)

Wo finde ich die 3B55C55923.sys?

Danke

#10 Hi,

Moment:
C:\WINDOWS\system32\3B55C55923.sys

chris

#11 Hi,

okay, habe die C:\Program Files\ddxgb.exe
rausgenommen...

Warte auf die Ergebnisse dann kommt der Rundschlag...

chris

#12 Hi,

C:\WINDOWS\system32\gebya.dll wird schon seit 10 minuten auf virustotal hochgeladen und ich kann diese datei auch nicht im explorer finden.

von der C:\WINDOWS\system32\byxxyya.dll kann ich sagen dass antivir dadrinne immen TR/Agent.37376 oder so findet. Trotzdem noch auf virustotal hochladen?

Untersuche jetzt C:\WINDOWS\system32\3B55C55923.sys

Danke

#13 Hi,

nein beide Dateien sind eigentlich Vundo-zuzuordnen...
War nur um sicher zu gehen...

Bitte das hier abarbeiten, wobei ich mir bei der Toolbar (:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll) nicht ganz sicher bin....
Eventuell nachinstallieren oder aus Avengerback zurückführen:

Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxxyya

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\gebya.dll
C:\WINDOWS\system32\byxxyya.dll
C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {ED203331-9C33-49D8-8714-D24A366A04EC} - C:\WINDOWS\system32\byxxyya.dll
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
O20 - Winlogon Notify: byxxyya - C:\WINDOWS\SYSTEM32\byxxyya.dll

Poste die Logs von Avenger und ein neues HJ-Log...

Chris

#14 Hi,

Bevor ich den Skript ausführe- 3B55C55923.sys überprüfung ist fertig:

Datei 3B55C55923.sys empfangen 2007.11.23 16:12:30 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)

Danke



Avenger Log:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jdprjacq

*******************

Script file located at: \??\C:\gjpkmusn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\gebya.dll not found!
Deletion of file C:\WINDOWS\system32\gebya.dll failed!

Could not process line:
C:\WINDOWS\system32\gebya.dll
Status: 0xc0000034

File C:\WINDOWS\system32\byxxyya.dll deleted successfully.
File C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxxyya deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.




WIll jetzt das mit dem Hijackthis Fixen machen. Habe gescannt und alles markiert und auf fix gedrückt und denn kommt ne meldung:

"You selected to fix everything Hijackthis has foun. THis may mean items important to your system will be deleted and the full functionality of your system will degrade......"

Ist das Ok so oder habe ich dich falsch verstanden=

Danke

#15 Hi,

nein nur die Sachen ankreuzen die ich angegeben habe, sonst ruinierst Du Dir das System!


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge (siehe unten) Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {ED203331-9C33-49D8-8714-D24A366A04EC} - C:\WINDOWS\system32\byxxyya.dll
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
O20 - Winlogon Notify: byxxyya - C:\WINDOWS\SYSTEM32\byxxyya.dll

chris