Habe oder hatte (?) einen TR/Vundo.Gen und TR/Crypt.XPACK.Gen

#0
31.03.2008, 01:50
...neu hier

Beiträge: 4
#1 Habe heute gerade Bekanntschaft gemacht mit den oben genannten Trojanern, was mein System an den Rande der Neuformatierung brachte. Zuerst sagte mir Avira immer wieder das selbe, nämlich, dass ein Virus im system32-Verzeichnis gefunden wurde (immer dieselben zwei .dlls). Die Files liessen sich nicht löschen und dann erlahmte der Explorer allmählich, was einige (Sicherheitsmodus-)Neustarts verlangte. Habe mich dann schlau gemacht (denn sonst habe ich in diesen Sachen kaum Ahnung) und ein paar gängige Methoden probiert, z.B. die Files mit Avenger abgeschossen, ein paar Vundo-Fixes drüber laufen lassen, etc. Da ich aus den Foren ebenso weiss, dass die Dinger mühsam sind und ich nicht gleich wieder in den Hammer laufen will, poste ich mal meine aktuellen Log-files, um sicher zu gehen, dass die Dinger ausgelöscht sind. Hatte bisher keine Meldungen mehr - auch vom Spyware-Scanner nicht (Ad-Aware 2007). Könnte jemand mal beurteilen, ob da noch was haust? Ich hoffe, ich habe sie getilgt...

Danke im Voraus.

Hier die verlangten Logs:

ComboFix 08-03-30.2 - Besitzer 2008-03-30 1:19:40.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\NDNuninstall4_85.exe
C:\WINDOWS\system32\moppo.ini
C:\WINDOWS\system32\moppo.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-30 ))))))))))))))))))))))))))))))
.

2008-03-30 00:44 . 2001-08-17 00:00 494,352 --a------ C:\WINDOWS\system32\SHDOC401.DLL
2008-03-30 00:44 . 2007-12-19 16:12 53,248 --a------ C:\WINDOWS\system32\ArmAccess.dll
2008-03-29 23:15 . 2008-03-29 23:15 9 --a------ C:\WINDOWS\system32\103461fb
2008-03-29 21:48 . 2008-03-29 21:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-29 21:37 . 2008-03-29 21:37 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-29 20:01 . 2008-03-30 01:15 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-29 19:57 . 2008-03-29 23:57 <DIR> d-------- C:\Programme\Panda Security
2008-03-29 13:32 . 2008-03-29 13:32 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-03-29 07:22 . 2008-03-29 07:22 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-03-29 01:01 . 2003-09-09 22:19 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-29 01:01 . 2003-09-09 23:05 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-03-29 01:01 . 2003-09-09 23:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-29 01:01 . 2003-09-09 23:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-29 01:01 . 2003-09-09 23:05 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-29 01:01 . 2003-09-09 23:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-29 01:01 . 2008-03-29 07:22 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-16 13:36 . 2008-03-17 12:37 <DIR> d-------- C:\WINDOWS\SxsCaPendDel

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-29 23:45 --------- d-----w C:\Programme\Intel
2008-03-29 22:38 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2
2008-03-29 20:49 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Lavasoft
2008-03-29 20:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-16 12:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-11-15 20:16 11,996,016 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2006-12-22 15:35 18,991,446 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2006_12_22_16_17_29_full.dmp.zip
2006-03-26 07:18 33,720 -c--a-w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2002-08-22 18:28 143360]
"ZCfgSvc.exe"="C:\windows\system32\ZCfgSvc.exe" [2004-08-11 08:20 409664]
"PRONoMgr.exe"="C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe" [2004-08-11 12:37 86016]
"Zone Labs Client"="D:\Programme\ZoneAlarm\zlclient.exe" [2007-03-09 00:02 919280]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 21:36 249896]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 08:32 77824]
"ZoneAlarm Client"="D:\Programme\ZoneAlarm\zlclient.exe" [2007-03-09 00:02 919280]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 08:58 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]
"Symantec NetDriver Warning"="C:\PROGRA~1\SYMNET~1\SNDWarn.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SRUUninstall"="C:\WINDOWS\System32\msiexec.exe" [2005-03-21 14:00 78848]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\windows\system32\LgNotify.dll 2004-08-11 08:22 180290 C:\WINDOWS\system32\LgNotify.dll


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-05 20:20]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-05 20:20]
R1 cmosa;cmosa;C:\WINDOWS\system32\DRIVERS\cmosa.sys [2000-10-06 17:51]
S3 {E2B953A7-195A-44F9-9BA3-3D5F4E32BB55};AIM 3.0 Part 01 Codec Driver CH-7009-B;C:\WINDOWS\system32\drivers\wA301b.sys [2003-10-27 20:42]
S3 Ca533av;Digital Camera, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca533av.sys []
S3 USBCamera;Digital Camera Still Image Capture;C:\WINDOWS\system32\Drivers\Bulk533.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-30 01:25:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> D:\Programme\ObjectDock\DockShellHook.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\S24EvMon.exe
D:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\1XConfig.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Defrag\bin\aDefragService.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\Defrag\bin\aDefragCtrl.exe
D:\Programme\ObjectDock\ObjectDock.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
D:\Programme\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-30 1:29:28 - machine was rebooted [Besitzer]
ComboFix-quarantined-files.txt 2008-03-30 00:29:12
10 Verzeichnis(se), 559,906,816 Bytes frei
12 Verzeichnis(se), 543,330,304 Bytes frei
.
2008-03-13 12:55:52 --- E O F ---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:31:52, on 30.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
D:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\1XConfig.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Apoint\Apoint.exe
D:\Programme\ZoneAlarm\zlclient.exe
D:\Programme\Defrag\bin\aDefragService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Defrag\bin\aDefragCtrl.exe
D:\Programme\ObjectDock\ObjectDock.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
D:\Programme\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.unizh.ch:3128;gopher=proxy.unizh.ch:3128;http=proxy.unizh.ch:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = unizh.ch
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\windows\system32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SRUUninstall] "C:\WINDOWS\System32\msiexec.exe" /L*v C:\WINDOWS\TEMP\SND532unin.txt /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SRUUninstall] "C:\WINDOWS\System32\msiexec.exe" /L*v C:\WINDOWS\TEMP\SND532unin.txt /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = D:\Programme\ObjectDock\ObjectDock.exe
O4 - Global Startup: Ashampoo Magical Defrag.lnk = D:\Programme\Defrag\bin\aDefragCtrl.exe
O8 - Extra context menu item: &WordWeb... - res://C:\WINDOWS\System32\wweb32.dll/lookup.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Dell\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://download.windowsupdate.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} -
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} -
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - D:\Programme\Defrag\bin\aDefragService.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\VPN Client\cvpnd.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Besitzer/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 8354 bytes

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist Windows XP
Volumeseriennummer: 1034-73DA

Verzeichnis von C:\WINDOWS\system32

30.03.2008 01:29 40'326 perfc009.dat
30.03.2008 01:29 311'938 perfh009.dat
30.03.2008 01:29 317'162 perfh007.dat
30.03.2008 01:29 48'558 perfc007.dat
30.03.2008 01:29 723'744 PerfStringBackup.INI
30.03.2008 01:27 2'206 wpa.dbl
30.03.2008 01:26 55'081 vsconfig.xml
29.03.2008 23:15 9 103461fb
29.03.2008 07:29 749 cdplayer.exe.manifest
29.03.2008 07:29 749 wuaucpl.cpl.manifest
29.03.2008 07:29 749 sapi.cpl.manifest
29.03.2008 07:29 749 nwc.cpl.manifest
29.03.2008 07:29 749 ncpa.cpl.manifest
05.03.2008 17:30 19'148'408 MRT.exe
15.01.2008 08:33 16'832 amcompat.tlb
15.01.2008 08:33 23'392 nscompat.tlb
11.01.2008 06:32 44'544 pngfilt.dll

.
.
.
Datentr„ger in Laufwerk C: ist Windows XP
Volumeseriennummer: 1034-73DA

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

30.03.2008 01:32 116'111 datfind.txt
1 Datei(en) 116'111 Bytes
0 Verzeichnis(se), 560'726'016 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows XP
Volumeseriennummer: 1034-73DA

Verzeichnis von C:\WINDOWS

30.03.2008 01:27 1'714'074 WindowsUpdate.log
30.03.2008 01:26 0 0.log
30.03.2008 01:25 282 system.ini
30.03.2008 01:25 159 wiadebug.log
30.03.2008 01:25 50 wiaservc.log
30.03.2008 01:24 2'048 bootstat.dat
30.03.2008 01:22 32'618 SchedLgU.Txt
29.03.2008 07:29 749 WindowsShell.Manifest
26.03.2008 17:33 1'428 win.ini
14.01.2008 22:01 316'640 WMSysPr9.prx

.
.
.
Datentr„ger in Laufwerk C: ist Windows XP
Volumeseriennummer: 1034-73DA

Verzeichnis von C:\WINDOWS\temp

30.03.2008 01:25 256 ZLT0354b.TMP
30.03.2008 01:25 256 ZLT03544.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 560'721'920 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows XP
Volumeseriennummer: 1034-73DA

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.01.2008 15:58 37'536 CTPID.ocx
11.01.2008 09:31 516 CTPID.inf
Seitenanfang Seitenende
31.03.2008, 01:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,

http://www.virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\WINDOWS\system32\103461fb
Klicke auf den Roten MoveIt!

--------

klicken: CleanUp! button
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes
so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.

-------

scanne mit bitdefender + poste den report
http://board.protecus.de/t8642.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.03.2008, 19:15
...neu hier

Themenstarter

Beiträge: 4
#3 Habe also mal obengenannte Dinge getan und folgenden bitdefender log erhalten. Sehe ich das richtig, dass v.a. nur Trojaner, die in Mail-Backups von Opera noch lauern, drin waren, und dass der Vundo sich noch krampfhaft irgendwo festhielt, jetzt aber getilgt sein sollte? *Ausschnauf* Was bedeuten die Einträge über den IE am Schluss? Danke im Voraus.

BitDefender Online Scanner


C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\07\02\14360.mbs=>(message 0)=>[Subject: Aktenzeichen: 330235/35 Rechnung][Date: Mon, 2 Jul 2007 22:50:26 +0900]=>(MIME part)=>RECHNUNG.ZIP=>Rechnung______________1.07.2007__________BITTE UM RUCKMELDUNG_DANKE____________PDF.exe
Infected with: Trojan.Downloader.Nurech.BS

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\07\02\14360.mbs=>(message 0)=>[Subject: Aktenzeichen: 330235/35 Rechnung][Date: Mon, 2 Jul 2007 22:50:26 +0900]=>(MIME part)=>RECHNUNG.ZIP=>Rechnung______________1.07.2007__________BITTE UM RUCKMELDUNG_DANKE____________PDF.exe
Deleted

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\07\02\14360.mbs=>(message 0)=>[Subject: Aktenzeichen: 330235/35 Rechnung][Date: Mon, 2 Jul 2007 22:50:26 +0900]=>(MIME part)=>RECHNUNG.ZIP
Updated

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\07\02\14360.mbs=>(message 0)=>[Subject: Aktenzeichen: 330235/35 Rechnung][Date: Mon, 2 Jul 2007 22:50:26 +0900]=>(MIME part)
Updated

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\07\02\14360.mbs=>(message 0)
Updated

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\07\02\14360.mbs
Updated

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\07\31\14548.mbs
Infected with: Generic.Peed.Eml.B163142F

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\07\31\14548.mbs
Disinfection failed

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\07\31\14548.mbs
Deleted

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\08\02\14549.mbs
Infected with: Generic.Peed.Eml.64030A61

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\08\02\14549.mbs
Disinfection failed

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\08\02\14549.mbs
Deleted

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\08\07\14547.mbs=>(message 0)=>[Subject: Kontoubersicht Ricardo.CH][Date: Tue, 7 Aug 2007 21:09:32 +0400]=>(MIME part)=>Rechnung__07.08.2007.zip=>Rechnung______________07.08.2007__________BITTE UM RUCKMELDUNG_DANKE____________PDF.exe
Infected with: Trojan.Downloader.Agent.YLG

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\08\07\14547.mbs=>(message 0)=>[Subject: Kontoubersicht Ricardo.CH][Date: Tue, 7 Aug 2007 21:09:32 +0400]=>(MIME part)=>Rechnung__07.08.2007.zip=>Rechnung______________07.08.2007__________BITTE UM RUCKMELDUNG_DANKE____________PDF.exe
Deleted

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\08\07\14547.mbs=>(message 0)=>[Subject: Kontoubersicht Ricardo.CH][Date: Tue, 7 Aug 2007 21:09:32 +0400]=>(MIME part)=>Rechnung__07.08.2007.zip
Updated

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\08\07\14547.mbs=>(message 0)=>[Subject: Kontoubersicht Ricardo.CH][Date: Tue, 7 Aug 2007 21:09:32 +0400]=>(MIME part)
Updated

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\08\07\14547.mbs=>(message 0)
Updated

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\08\07\14547.mbs
Updated

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\08\22\14647.mbs=>(message 0)=>[Subject: Kontoubersicht Ricardo.CH][Date: Wed, 22 Aug 2007 14:45:17 +0400]=>(MIME part)=>Ricardo_Rechnung_August01.rar=>Ricardo.ch_Ihre_Details_____________21.08.2007__________BITTE UM RUCKMELDUNG_DANKE____________PDF.exe
Infected with: Trojan.Downloader.Nurech.BV

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\08\22\14647.mbs=>(message 0)=>[Subject: Kontoubersicht Ricardo.CH][Date: Wed, 22 Aug 2007 14:45:17 +0400]=>(MIME part)=>Ricardo_Rechnung_August01.rar=>Ricardo.ch_Ihre_Details_____________21.08.2007__________BITTE UM RUCKMELDUNG_DANKE____________PDF.exe
Deleted

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera\Opera7\Mail\store\account4\2007\08\22\14647.mbs=>(message 0)=>[Subject: Kontoubersicht Ricardo.CH][Date: Wed, 22 Aug 2007 14:45:17 +0400]=>(MIME part)=>Ricardo_Rechnung_August01.rar
Update failed

C:\System Volume Information\_restore{A014A068-C3C1-4ECE-862D-81595C72E1B0}\RP1\A0000164.exe
Detected with: Adware.Newdotnet.B

C:\System Volume Information\_restore{A014A068-C3C1-4ECE-862D-81595C72E1B0}\RP1\A0000164.exe
Deleted

C:\WINDOWS\WindowsIE.dll
Detected with: Application.Inetspeak.A

C:\WINDOWS\WindowsIE.dll
Disinfection failed

C:\WINDOWS\WindowsIE.dll
Deleted
Seitenanfang Seitenende
31.03.2008, 23:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ««
Gehe in deinen email-Account und lösche alle mails, die vom Bitdefender angezeigt wurden . zb: Mail vom 2007\08\22 und 2007\07\31 und 2007\07\02

««
scanne mit F-secure/Onlinescan + poste den report
http://board.protecus.de/t8642.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2008, 10:24
...neu hier

Themenstarter

Beiträge: 4
#5 Juhui (hoffentlich nicht zu früh freu)! Der F-Secure Onlinescan hat nix gefunden! Muss ich noch was machen? Hier auf jeden Fall mal der Report:
(Danke übrigens noch für einen Kollateralgewinn: Mit dem Löschen der alten Opera-Mailbackups konnte ich einiges an Platz freischaufeln auf der zugepflantschen Windows-Partition. Hatte diese Backups übersehen, als ich Opera vom Programm deinstallieren liess, denn sie wurden ja nicht mitgelöscht und waren versteckt. War fast ein GB (von 5 auf C:\...)! Ausserdem waren die ja noch mit winterschlafenden Trojandern zugemüllt, die jetzt auch getilgt sind! Vielen Dank!!!)

Scanning Report
Monday, March 31, 2008 10:03:45 - 11:18:29
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\


--------------------------------------------------------------------------------

Result: 0 malware found

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 31818
System: 3447
Not scanned: 18
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 0
Submitted: 0
Files not scanned:
C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{DAAA2500-13F8-490E-AE62-A22D982EDF24}.BIN
C:\WINDOWS\APPPATCH\ACSPECFC.DLL
C:\WINDOWS\APPPATCH\ACSPECFC.DLL
C:\WINDOWS\APPPATCH\ACSPECFC.DLL
C:\WINDOWS\APPPATCH\ACSPECFC.DLL
C:\WINDOWS\APPPATCH\ACSPECFC.DLL
C:\WINDOWS\APPPATCH\ACSPECFC.DLL
C:\WINDOWS\APPPATCH\ACSPECFC.DLL
C:\WINDOWS\APPPATCH\ACSPECFC.DLL
C:\WINDOWS\APPPATCH\ACSPECFC.DLL
C:\WINDOWS\APPPATCH\ACSPECFC.DLL
D:\PAGEFILE.SYS

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.30.0
F-Secure Hydra: 2.8.8110, 2008-04-01
F-Secure AVP: 7.0.171, 2008-04-01
F-Secure Pegasus: 1.20.0, 2008-02-28
F-Secure Blacklight: 1.0.64
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics
Dieser Beitrag wurde am 01.04.2008 um 10:32 Uhr von Art-0 editiert.
Seitenanfang Seitenende
01.04.2008, 11:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo,

mit HijackThis fixen:
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked. + starte den Rechner neu.

Zitat

O4 - Global Startup: Ashampoo Magical Defrag.lnk = D:\Programme\Defrag\bin\aDefragCtrl.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Besitzer/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg
««
scanne noch mit smitfraudfix - option 2
http://www.virus-protect.org/artikel/tools/smitfrautfix.html

dann müsste wieder alles im grünen Bereich sein.
Alles Gute ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2008, 12:35
...neu hier

Themenstarter

Beiträge: 4
#7 Habe oben genannte Dinge ausgeführt. Wenn Sie keine Antwort mehr schreiben, nehme ich an, dass alles i.O ist jetzt...Vielen Dank nochmals!

Das positive Fazit des Trojanerbefalls ist immerhin, dass das System jetzt wieder besser läuft wie vorher, nach all den Registry-Optimierungen und sonstigen Bereinigungen und natürlich dank Ihrer Hilfe beim Säubern des Systems.
Seitenanfang Seitenende