Trojaner und Wurm auf meinem Rechner

#1 Hallo,
ich habe mir ebenfalls per MSN einen Trojaner eingefangen. AntiVir meldet folgendes: TR/Vundo.Gen und nur nach dem starten WORM/SdBot.626688.2
beide lassen sich nicht durch AntiVir oder Stinger löschen. Beide behindern den Betrieb nicht. Möchte sie trotzdem nicht haben, weiß aber nicht mehr weiter.

#2 bitte abarbeiten und logs posten
http://board.protecus.de/t23188.htm

#3 so bin jetzt endlich ausm arsch gekommen. hier der log bericht von combofix:

ComboFix 08-11-23.02 - x1 2008-11-24 23:17:14.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.563 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\x1\Desktop\ComboFix2.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-10-24 bis 2008-11-24 ))))))))))))))))))))))))))))))
.

2008-11-22 22:59 . 2008-11-24 23:09 <DIR> d-------- C:\ComboFix
2008-11-08 14:58 . 2008-11-08 14:58 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-08 14:58 . 2008-11-08 14:58 <DIR> d-------- c:\dokumente und einstellungen\x1\Anwendungsdaten\Malwarebytes
2008-11-08 14:58 . 2008-11-08 14:58 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-08 14:58 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-08 14:58 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-06 20:00 . 2008-11-06 20:00 <DIR> d-------- C:\VundoFix Backups
2008-11-06 18:04 . 2008-11-21 21:46 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-05 19:14 . 2008-11-05 19:14 <DIR> d-------- c:\dokumente und einstellungen\x1\Anwendungsdaten\Ulead Systems
2008-11-05 19:11 . 2008-11-05 19:11 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\InstallShield
2008-11-05 19:08 . 2008-11-05 19:08 <DIR> d-------- c:\programme\Ulead Systems
2008-11-05 19:08 . 2008-11-05 19:08 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ulead Systems
2008-11-05 19:08 . 2008-11-05 19:08 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-11-05 19:08 . 1999-10-15 12:50 1,056,768 --------- c:\windows\system32\ROBOEX32.DLL
2008-11-05 19:08 . 2006-07-22 19:37 49,152 --------- c:\windows\system32\INETWH32.dll
2008-11-04 14:54 . 2008-11-04 14:54 <DIR> d-------- c:\programme\VirtualDJ

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-24 20:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-05 18:11 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-05 18:08 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
.

((((((((((((((((((((((((((((( snapshot@2008-11-22_23.17.37,04 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-26 16:20:55 48,156 ----a-w c:\windows\system32\perfc007.dat
+ 2008-11-23 15:57:44 48,156 ----a-w c:\windows\system32\perfc007.dat
- 2008-10-26 16:20:55 39,992 ----a-w c:\windows\system32\perfc009.dat
+ 2008-11-23 15:57:44 39,992 ----a-w c:\windows\system32\perfc009.dat
- 2008-10-26 16:20:55 316,594 ----a-w c:\windows\system32\perfh007.dat
+ 2008-11-23 15:57:44 316,594 ----a-w c:\windows\system32\perfh007.dat
- 2008-10-26 16:20:55 311,604 ----a-w c:\windows\system32\perfh009.dat
+ 2008-11-23 15:57:44 311,604 ----a-w c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-29 13312]
"MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2002-08-20 1511453]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"SMSTray"="c:\programme\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-09-20 132624]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]

c:\dokumente und einstellungen\x1\Startmen�\Programme\Autostart\
Picture Motion Browser Medien-Pr�fung.lnk - c:\programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-04-10 344064]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-11-04 110592]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{88485281-8b4b-4f8d-9ede-82e29a064277}"= "c:\progra~1\MarkAny\CONTEN~1\MACSMA~1.DLL" [2004-11-23 192512]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Orb"="c:\programme\Winamp Remote\bin\OrbTray.exe" /background

R0 avgntmgr;avgntmgr;c:\windows\System32\DRIVERS\avgntmgr.sys [2007-09-03 22336]
R1 avgntdd;avgntdd;c:\windows\System32\DRIVERS\avgntdd.sys [2007-09-03 45376]
R2 AdminSVCff;WEB.DE Firefox Update;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 180224]
R2 UxTuneUp;TuneUp Designerweiterung;c:\windows\System32\svchost.exe -k netsvcs [2001-08-18 12800]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-11-21 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 04:08]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\x1\Anwendungsdaten\Mozilla\Firefox\Profiles\wx34e3hh.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - gmx.de
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-24 23:19:03
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(648)
c:\windows\System32\ODBC32.dll
c:\windows\System32\rsaenh.dll
c:\windows\System32\midimap.dll

- - - - - - - > 'lsass.exe'(704)
c:\windows\System32\rsaenh.dll
c:\windows\System32\dssenh.dll
.
Zeit der Fertigstellung: 2008-11-24 23:20:38
ComboFix-quarantined-files.txt 2008-11-24 22:20:17
ComboFix2.txt 2008-11-22 22:19:07

Vor Suchlauf: 6.028.005.376 Bytes frei
Nach Suchlauf: 6,023,753,728 Bytes frei

113



edit:

logfile von hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:29:00, on 25.11.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SMSTray] C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 4684 bytes

#4

Zitat

Platform: Windows XP SP1

Servicepack 1?? Das wurde in der Steinzeit benutzt. Ich denke sinnvoll wäre dass du Dir das SP3 installierts und alles Windowsupdate machst:
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Eventuell vorher das Sysem neu aufsetzen und direkt alles updaten.

Falls Du das nicht sinnvoll findest scanne mit Malwarebytes und poste das Log:
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

#5 windows update ist so eine sache, den grund könnt ihr euch sicherlich denken

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1424
Windows 5.1.2600 Service Pack 1

26.11.2008 14:30:12
mbam-log-2008-11-26 (14-30-12).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 41854
Laufzeit: 3 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#6

Zitat

windows update ist so eine sache, den grund könnt ihr euch sicherlich denken

hmm ich denke dass es sich dann auch nicht lohnt hier noch etwas zu reinigen. Obwohl es eigentlich gemäss Malwarebytes Log sauber aussieht.

Gruss Swiss

#7 naja lohnen ist relativ. ich werde sehen, dass nach weihnachten ein notebook rankommt. das mein pc nicht mehr zeitgemäß ist weiß ich. bisher hat er gereicht, aber da ich mittwlerweile auch fotos bearbeite ist echt müseelig. trotzdem wäre es cool, wenn er virenfrei läuft

aber auf alle fälle vielen dank.