TR/Vundo.AG hat auch meinen PC befallen

#1 Moin moin,
auch ich bin leider ein Opfer des tollen Vundos geworden. Hab mal nen logfile mit Hijackthis erstellt, sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 11:33:49, on 24.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\DOKUME~1\HEIDIS~1.FAK\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] "C:\Programme\AGEIA Technologies\TrayIcon.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Corel Family & Friends Erinnerungsfunktionen.LNK = C:\Corel\Print House Magic\cffrem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe


Was muss davon nun gefixt werden (gelöscht)?
Danke schonmal an die netten Helfer

#2 Hallo,

wende bitte CC leaner an + Combofix , von Combofix poste hier den report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Mist....
Bildschirm vom PC schwarz, nur der Cursor ist zu sehen nach Anwendung von Combofix, welches nach dem Scan nen Neustart eingeleitet hat....
Resetten? Was könnte die Ursache sein?

#4 du bist heute schon der zweite, dem das passiert, ich werde wohl die Combofix stoppen müssen
Habe raman eine PN geschrieben, mal sehen, was er meint.
Resetten ja, falls es funktioniert
Anscheinend werden die GraKa-Treiber ausgelöscht ...
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Resetten geht nicht, zumindest nicht im normalen Modus, fragt mich sonst ob ich bagesichert hochfahren will...

#6 ich denke, es gibt nicht viel zu machen, der andere User hat schon alles versucht, es erscheint immer der schwarze Bildschirm..versuche es mit den GraKa-Treibern
__________
MfG Sabina

rund um die PC-Sicherheit

#7 GraKa-Treiber neu installieren?

#8 Vielleicht gibts für deine treiber ein Update. Auf der Herstellerseite wirst du diese sicher finden.

Gruss Swiss

#9 Keine Ahnung, wie ich in dem Zustand nen Treiber installieren soll. Kenne mich leider auch gar nicht aus. Hab jetzt versucht nen Treiber aus dem Netz zu laden.... keine Ahnung ob ich den nicht richtig entpackt oder gbrannt habe, aber mein Rechner scheint den in keinster Weise anzunehmen.

#10 kannst du mit STRG+ALT+ENTF den Taskmanager oeffnen? Wenn ja sollten mal darueber die Explorer.exe starten...
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Geht leider nicht, es tut sich nichts.

#12 kannst du die CD einlegen und eine Reparaturinstallation machen ? Funktioniert das ?
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hab wie gesagt keinen Originaltreiber hier.... die CD die ich runtergebrannt habe macht nichts.... oder meinst du Windows?
Kann ich denn nen ordentlich gezogenen Treiber direkt von der CD starten?

#14 Sie meint einfach die WIN CD reinschieben und dann auf Reparatur klicken.

Gruss Swiss

#15 Automated System-Recovery?
Das würde gehen.