TR/Vundo.Gen - Verzweiflung!

#16 das ist schön das du das mit avenger gemacht hast, ich möchte aber die anderen rootkitscann ergebnisse sehen. danke

#17 Ich glaube ich habe deinen Beitrag falsch verstanden ... ich dachte erstmal den rootskit drüber laufen lassen und dann die unten angegebenen Programme ... sry ich lerne gerade nebenbei und habs über-/verlesen

#18 also alle von mir genannten rootkitscanner verwenden (dabei beachten was ich geschrieben hab) die logs posten + neues hijackthis + berichten wie laptop läuft.

#19 catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-21 18:30:12
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT BAF9B1EC ZwCreateThread
SSDT BAF9B1D8 ZwOpenProcess
SSDT BAF9B1DD ZwOpenThread
SSDT BAF9B1E7 ZwTerminateProcess
SSDT BAF9B1E2 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? zsliyjz.sys Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

---- EOF - GMER 1.0.14 ----

02/21/09 18:30:38 [Info]: BlackLight Engine 2.2.1092 initialized
02/21/09 18:30:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/21/09 18:30:38 [Note]: 7019 4
02/21/09 18:30:38 [Note]: 7005 0
02/21/09 18:30:46 [Note]: 7006 0
02/21/09 18:30:46 [Note]: 7011 388
02/21/09 18:30:46 [Note]: 7035 0
02/21/09 18:30:46 [Note]: 7026 0
02/21/09 18:30:46 [Note]: 7026 0
02/21/09 18:30:48 [Note]: FSRAW library version 1.7.1024
02/21/09 18:37:23 [Note]: 7007 0

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:37:47, on 21.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\ATK0100\HControl.exe
D:\Programme\ASUS\ATK Media\DMEDIA.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\ASUS\Splendid\ACMON.exe
D:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
D:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
D:\WINDOWS\system32\ACEngSvr.exe
D:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
D:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
D:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\Programme\Canon\IJPLM\IJPLMSVC.EXE
D:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\ATK0100\ATKOSD.exe
D:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
D:\Programme\Trend Micro\HijackThis\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HControl] D:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [ATKMEDIA] D:\Programme\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ATICCC] "D:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ACMON] D:\Programme\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] D:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [Infium] "D:\Programme\QIP Infium\infium.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: iTunes.lnk = ?
O4 - Startup: Mozilla Thunderbird.lnk = D:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Rainlendar2.lnk = D:\Programme\Rainlendar2\Rainlendar2.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - D:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - D:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe

--
End of file - 6280 bytes

Also soweit macht mir der Lap nen guten Eindruck. Hakt nicht ... läuft echt gut

Soll ich dann jetzt auch Antivir wieder aktivieren? Oder wollte ich ein anderes Programm verwenden ... ich will ja nicht, dass mir sowas nochmal passiert

#20 antivir an.
n bissel was müssen wir noch machen!
start ausfüren
combofix /u
enter
arbeitsplatz, systemsteuerung software deinstaliere und update:
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Reader 8.1.2 - Deutsch
www.adobe.com/de/products/reader/ - 32k -
Java(TM) 6 Update 7
www.java.com/de/download/manual.jsp -
besuche die windows update seite, spiele servicepack 3 und internetexplorer 7 auf, so lange updaten, bis keine wichtigen updates mehr angeboten werden!
danach stelle antivir so ein:
danach lasse dieses tool laufen, damit alle benutzen programme gelöscht werden:
http://www.virus-protect.org/artikel/tools/otmoveIt.html
von 1 bis 3 alles durchfüren.
http://board.protecus.de/t23979.htm
zusätzlich rootkitsuche on
updaten, scannen funde in quarantäne log posten.

#21

Zitat

virenfinder postete
arbeitsplatz, systemsteuerung software deinstaliere und update:

meinst du damit, dass ich die ganzen programme mit denen ich jetzt gearbeitet habe löschen soll? ich verstehe ansonsten nicht ganz was du mir sagen willst

#22 es steht doch da was du deinstalieren und updaten sollst....

#23 Ich hab da nochn kleines Problem mit dem Adobe. Wenn ich 8.1.2. auwähle leitet er mich immer direkt zu 9 weiter ...

#24 verstehe ich nicht. du solst die 8ter deinstalieren und neun neu instalieren.

#25 ah ok ... hab deine nachricht wieder etwas MISTverstanden ... ich muss dringend mal wieder schlafen -.-

#26 leis es langsam durch... das ist wichtig um sicherheitslücken zu stopfen damit so etwas net mehr passiert. adobe reader neun soll ja drauf aber erst soll die version 8 runter. genauso mit java verfahren.

#27 Wenn du damit fertig bist, erstelle ein neuen Gmer Report und poste diesen bitte.
__________
MfG Ralf
SEO-Spam Hunter

#28 GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-21 20:17:10
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT BAECA4B4 ZwCreateThread
SSDT BAECA4A0 ZwOpenProcess
SSDT BAECA4A5 ZwOpenThread
SSDT BAECA4AF ZwTerminateProcess
SSDT BAECA4AA ZwWriteVirtualMemory

---- User code sections - GMER 1.0.14 ----

.text D:\Programme\QIP Infium\infium.exe[3596] kernel32.dll!CreateThread + 1A 7C8106E1 4 Bytes [ 57, FF, C3, 83 ]

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.14 ----

#29 du kannst den rest trotzdem schon machen raman wird sich sicher melden.

#30 Wollte nur etwas kontrollieren.
__________
MfG Ralf
SEO-Spam Hunter