Home » Viren, Trojaner & Malware Forum » TR Vundo - Mit herkömmlichen Mitteln nicht zu bekämpfen » Themenansicht

TR Vundo - Mit herkömmlichen Mitteln nicht zu bekämpfen

Thema ist geschlossen!
Thema ist geschlossen!
#0
09.04.2008, 15:33
Zorren
...neu hier

Beiträge: 5
#1 Hi Ihr.
Ich habe den TR Vundo Trojaner auf einem Rechner und der scheint immer mehr .dll Datein zu infizieren. Ich mach den Rechner schon garnicht mehr an. Wie bekomm ich den weg?. Den ganzen Kram, wie VundoFix.exe oder AntiVir hab ich schon probiert und von so Sachen wie Logfiles hab ich keine Ahnung. Ich weiss auch das dieser Trojaner schon öfters in diesem Forum behandelt wurde, aber wie gesagt auch dort steig ich nicht durch.

Ich würde mich sehr freuen, wenn mir jemand Schritt für Schritt erklären könnte was ich machen muss.

Ich danke euch schonmal ;)
Zorren
Seitenanfang Seitenende
09.04.2008, 15:49
raman
Moderator

Beiträge: 7805
#2 Wende bitte einmal Combofix an und poste danach ein Hijackthis log. Anleitung dazu findest du u.a. hier:
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.04.2008, 16:15
Zorren
...neu hier

Themenstarter

Beiträge: 5
#3 Hier die CombiFix Logdatei. Hijackthis Logfile kommt sofort.

Zitat

ComboFix 08-04-08.10 - Insi 2008-04-09 16:07:22.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.228 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Insi\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM372e97e4.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\byeluyij.dll
C:\WINDOWS\system32\ddcBUmMc.dll
C:\WINDOWS\system32\fccyyab.dll
C:\WINDOWS\system32\kiaxvvka.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\opnmNHyy.dll
C:\WINDOWS\system32\pmnljJYP.dll
C:\WINDOWS\system32\wixnrcgy.ini
C:\WINDOWS\system32\wvuvwuu.dll
C:\WINDOWS\system32\ygcrnxiw.dll
C:\WINDOWS\system32\yyHNmnpo.ini
C:\WINDOWS\system32\yyHNmnpo.ini2

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSUPDATE
-------\Legacy_{FBE1D620-5418-4AAE-A0F0-316D590663A1}
-------\Service_{FBE1D620-5418-4aae-A0F0-316D590663A1}
-------\Service_msupdate


((((((((((((((((((((((( Dateien erstellt von 2008-03-09 bis 2008-04-09 ))))))))))))))))))))))))))))))
.

2008-04-09 16:01 . 2008-04-09 16:01 3,648 --a------ C:\WINDOWS\system32\dddulyny.dll
2008-04-02 02:13 . 2008-04-02 02:13 0 --a------ C:\WINDOWS\system32\SBRC.dat
2008-04-02 02:13 . 2008-04-02 02:13 0 --a------ C:\WINDOWS\system32\SBFC.dat
2008-04-02 02:11 . 2008-04-02 02:11 <DIR> d-------- C:\Dokumente und Einstellungen\Insi\Anwendungsdaten\Sunbelt Software
2008-04-02 02:03 . 2008-04-02 02:03 <DIR> d-------- C:\VundoFix Backups
2008-03-30 19:04 . 2008-03-30 19:04 <DIR> d-------- C:\Dokumente und Einstellungen\Insi\Anwendungsdaten\Lavasoft
2008-03-29 23:33 . 2008-03-29 23:35 2 --a------ C:\874357975
2008-03-29 16:11 . 2008-03-29 16:33 733 --a------ C:\WINDOWS\CoD.INI
2008-03-26 17:30 . 2008-03-26 17:30 <DIR> d-------- C:\Programme\Zattoo
2008-03-18 17:49 . 2008-03-18 17:49 <DIR> d-------- C:\Dokumente und Einstellungen\Insi\Anwendungsdaten\MyPhoneExplorer

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-30 18:10 2,799,104 ----a-w C:\WINDOWS\Internet Logs\xDB1F.tmp
2008-03-30 18:10 1,433,600 ----a-w C:\WINDOWS\Internet Logs\xDB20.tmp
2008-03-29 22:19 12,528 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-03-26 20:06 --------- d-----w C:\Programme\ICQToolbar
2008-03-26 12:57 --------- d-----w C:\Programme\Google
2008-03-25 13:04 --------- d-----w C:\Programme\Java
2008-03-24 17:16 --------- d-----w C:\Dokumente und Einstellungen\Insi\Anwendungsdaten\ICQ Toolbar
2008-03-20 10:29 1,401,856 ----a-w C:\WINDOWS\Internet Logs\xDB1E.tmp
2008-03-18 14:53 2,805,248 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp
2008-03-18 14:53 1,391,104 ----a-w C:\WINDOWS\Internet Logs\xDB1D.tmp
2008-03-16 19:24 1,388,544 ----a-w C:\WINDOWS\Internet Logs\xDB1B.tmp
2008-03-02 02:04 1,358,336 ----a-w C:\WINDOWS\Internet Logs\xDB1A.tmp
2008-02-28 01:23 --------- d-----w C:\Programme\ICQ6
2008-02-25 15:44 2,676,224 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp
2008-02-25 15:44 1,344,000 ----a-w C:\WINDOWS\Internet Logs\xDB19.tmp
2008-02-24 14:40 --------- d-----w C:\Programme\Babylon
2008-02-23 18:52 1,297,920 ----a-w C:\WINDOWS\Internet Logs\xDB17.tmp
2008-02-19 15:57 30,208 ----a-w C:\WINDOWS\Internet Logs\xDB16.tmp
2008-02-19 15:52 13,824 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2008-02-19 15:52 1,592,832 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2008-02-19 15:51 2,999,296 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2008-02-19 15:51 1,592,320 ----a-w C:\WINDOWS\Internet Logs\xDB15.tmp
2008-02-13 12:41 1,586,688 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2008-02-04 17:25 2,962,944 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2008-02-04 17:25 1,574,400 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2007-12-20 13:44 1,476,608 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2007-11-05 15:58 2,946,560 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2007-11-05 15:58 1,398,272 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2007-09-25 13:50 24,064 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2007-09-25 13:39 23,040 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2007-09-25 13:39 1,360,384 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2007-09-25 13:37 1,359,872 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2007-09-25 13:35 21,504 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2007-09-25 13:33 1,358,336 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2007-09-25 13:31 20,992 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2007-09-25 13:31 1,358,848 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2007-09-25 13:30 1,358,848 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-09-25 13:29 1,363,968 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-09-25 13:29 1,244,160 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C5AF49A2-94F3-42BD-F434-2604812C897D}]
C:\WINDOWS\system32\jfiehayd.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 01:58 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-13 18:03 249896]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02 919280]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-11-11 13:47 7311360]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-11-11 13:47 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"snpstd"="C:\WINDOWS\vsnpstd.exe" [2003-12-31 17:39 40960]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{C5AF49A2-94F3-42BD-F434-2604812C897D}"= C:\WINDOWS\system32\jfiehayd.dll [ ]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TMMonitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\TMMonitor.lnk
backup=C:\WINDOWS\pss\TMMonitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Insi^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\Insi\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\jdgf894jrghoiiskd]
C:\DOKUME~1\Insi\LOKALE~1\Temp\winlogan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2007-02-08 02:12 488984 C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
--a------ 2007-02-08 02:13 774168 D:\Programme\QuickCam10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 01:58 1667584 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2005-11-11 13:47 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-03-26 22:06 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-01-27 01:09 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2007-10-06 17:29]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-10-06 17:29]
S3 AF15BDA;AF9015 BDA Filter;C:\WINDOWS\system32\Drivers\AF15BDA.sys [2006-09-28 12:47]
S3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2002-01-07 17:50]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0c980c50-ae24-11dc-a8dc-00179a375c58}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-09 16:11:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-09 16:13:18 - machine was rebooted [Insi]
ComboFix-quarantined-files.txt 2008-04-09 14:13:12
7 Verzeichnis(se), 4,263,403,520 Bytes frei
9 Verzeichnis(se), 4,722,434,048 Bytes frei
Hier die Hijackthis Logfile:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:17:45, on 09.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: C:\WINDOWS\system32\jfiehayd.dll - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O22 - SharedTaskScheduler: jhsf8d984jief8dsfus98jkefn - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5654 bytes
Dieser Beitrag wurde am 09.04.2008 um 17:36 Uhr von Zorren editiert.
Seitenanfang Seitenende
09.04.2008, 16:25
raman
Moderator

Beiträge: 7805
#4 Sieht doch schon nicht schlecht aus.
Loesche bitte diese Datei C:\WINDOWS\system32\dddulyny.dll

Danach hake folgenden Eintraege in Hijackthis an und druecke fix checked:

O2 - BHO: C:\WINDOWS\system32\jfiehayd.dll - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll (file missing)
O22 - SharedTaskScheduler: jhsf8d984jief8dsfus98jkefn - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll (file missing)

Dann bitte neu starten und nutze die mit Windows gelieferte Datenträgerbereinigung(alles anhaken außer alte Dateien komprimieren) und saeubere die Systemwiederherstellung über "weitere Optionen".
http://support.microsoft.com/default.aspx?scid=kb;de;315246

Danach noch malwarebytes-anti-malware nutzen
http://virus-protect.org/artikel/tools/malwarebytes.html


Poste bitte den entsprechenden Report
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.04.2008, 17:20
Zorren
...neu hier

Themenstarter

Beiträge: 5
#5 Soo, alles erledigt:

Zitat

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 603

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 98488
Scan Dauer: 26 minute(s), 15 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\system32\fccyyab.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\pmnljJYP.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\wvuvwuu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E7FB6BC3-978F-4B78-9C11-D66D011844D6}\RP121\A0068357.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E7FB6BC3-978F-4B78-9C11-D66D011844D6}\RP121\A0068359.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E7FB6BC3-978F-4B78-9C11-D66D011844D6}\RP121\A0068360.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
und nu?
Seitenanfang Seitenende
09.04.2008, 18:11
raman
Moderator

Beiträge: 7805
#6 Das sieht schon nicht schlecht aus.
Suche bitte mit Hilfe der Windowssuche nach Copy.exe

Also bei "Gesamter oder Teil des Dateinamens" copy.exe eingeben, bei Suchen in lokalen Festplatten waehlen und unter weitere Optionen die ersten 3 Punkte anhaken, dann bitte suchen lassen und schauen, was wo gefunden wird
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.04.2008, 18:54
Zorren
...neu hier

Themenstarter

Beiträge: 5
#7 xcopy.exe C:\WINDOWS\system32
xcopy.exe C:\WINDOWS\ServicePackFiles\i386
xcopy.exe C:\WINDOWS\$NTServicePackUninstall$

aber direkt copy.exe findet er nicht
Seitenanfang Seitenende
09.04.2008, 19:01
raman
Moderator

Beiträge: 7805
#8 Sehr schoen!

Gebe unter start/Ausführen combofix /u ein und druecke Enter. Danach stelle dein Antivir bitte ein, wie hier beschrieben: http://board.protecus.de/t23979.htm
und besuche bitte www.windowsupdate.com und installiere dir alle wichtigen Updates, die dir angeboten werden(incl. IE7). Wiederhole das so lange, bis dir keine Updates mehr angeboten werden!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.04.2008, 19:07
Zorren
...neu hier

Themenstarter

Beiträge: 5
#9 Alles erledigt!. Wenn es das jetzt war, dann bedanke ich mich ganz herzlich!!! ;)
Seitenanfang Seitenende
09.04.2008, 19:11
raman
Moderator

Beiträge: 7805
#10 Ja, den "Copy.exe" Eintrag koennen wir drin lassen....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • » Tipp:
  • »
  • »
Seite(n): 1