Startseite

[HWE-News] [HWE-FAQ] [Tests] [Artikel] [Softwareecke] [RC5-Proxy] [Overclocking] [TreiberEcke] [HWE-FanShop] [Links]

Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
18. November 2018, 14:21:46 Uhr

Einloggen mit Benutzername, Passwort und Sitzungslänge
Suche:     Erweiterte Suche
223568 Beiträge in 24120 Themen von 18398 Mitglieder, Neuestes Mitglied: Gesture

RC5-Teamstats: Gestern: 0 WUs, . Platz,
Gesamt: 0 WUs, . Platz ( Members)

Übersicht Hilfe Suche Kalender Einloggen Registrieren
HWE-Forum.de  |  Internet und Co.  |  Schutz & Sicherheit (Moderatoren: TMK, American, gandal)  |  Thema: Bitte um Hilfe-vermutlich Trojanerbefall
0 Mitglieder und 1 Gast betrachten dieses Thema. « vorheriges nächstes »
Seiten: [1] Nach unten Thema versenden Drucken
Autor Thema: Bitte um Hilfe-vermutlich Trojanerbefall  (Gelesen 2394 mal)
ladolce
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 30

« am: 20. November 2008, 20:16:26 Uhr »

Hi zusammen haben ein mittelgroßes Problem Antivir zeigt 10 befallene Dateien an und trotz Quarantäne werden sie immer wieder gefunden. Zuerst wurde der Befall in der vtUlIBSj.dll Datei gefunden. Haben nun Hijackthis eine Logfile erstellen lassen kann mir jmd vllt weiterhelfen wie wir das Problem beheben können möglichst ohne neues aufsetzen. Hier das Logfile

Vielen Dank schonmal :-)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:05:15, on 20.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\PowerISO\SCDEmuApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\AntiVir PersonalEdition Classic\avwsc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [SCDEmuApp.exe] C:\Programme\PowerISO\SCDEmuApp.exe
O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prun.exe"
O4 - HKLM\..\Run: [NI.GSCNS] "C:\DOKUME~1\Aylin\LOKALE~1\Temp\winvsnet.tmp"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [88f9b001] rundll32.exe "C:\WINDOWS\system32\atigbmgl.dll",b
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prun.exe"
O4 - HKLM\..\Policies\Explorer\Run: [XPUc8FR5O0] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\exwlwpcl\gvwnspwd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144576999857
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O20 - AppInit_DLLs: fwnpcv.dll
O21 - SSODL: StrInfo - {2E5A65BB-B055-C0DD-0118-09975F2EE086} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 9047 bytes

Gespeichert
tyco
Admin
******

Ranking: 713
Offline Offline

Geschlecht: Männlich
Beiträge: 20346


HWE rocks!

« Antwort #1 am: 20. November 2008, 20:32:51 Uhr »

Diese Einträge solltest du zunächst erstmal mit HijackThis fixen:

O4 - HKLM\..\Run: [NI.GSCNS] "C:\DOKUME~1\Aylin\LOKALE~1\Temp\winvsnet.tmp"

O4 - HKLM\..\Run: [88f9b001] rundll32.exe "C:\WINDOWS\system32\atigbmgl.dll",b

O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prun.exe"

O20 - AppInit_DLLs: fwnpcv.dll

O21 - SSODL: StrInfo - {2E5A65BB-B055-C0DD-0118-09975F2EE086} - (no file)

Die O4-Einträge lassen sich erst fixen, wenn der Prozess vorher im Taskmanager beendet wurden.

Ein Scan mit Spybot S&D und Ad-Aware ist auch unbedingt zu empfehlen.
Gespeichert
Bitte keine Supportanfragen per PM stellen.
ladolce
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 30

« Antwort #2 am: 20. November 2008, 20:39:38 Uhr »

Hi Danke erstmal für die schnelle Antwort,
mit fixen meinst du? Im Taskmanager diese Prozesse die du geschrieben hast beenden und dann?
Kenn mich da nicht so aus :-)
Gespeichert
Masso
Poweruser
******

Ranking: 9
Offline Offline

Geschlecht: Männlich
Beiträge: 1317

Guckste weiter

« Antwort #3 am: 20. November 2008, 21:25:15 Uhr »

Nicht ganz, unter dem Hijackfenster ist doch der Button fixen, den solltest du drücken, danach sollten die einträge weg sein
Gespeichert
Welche Zahl nennt man die Unglückszahl? 218593! Weil: Wenn 2 sich 1 sind und nicht 8 geben, wissen sie spätestens in 5 Wochen, daß sie in 9 Monaten 3 sind...
ladolce
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 30

« Antwort #4 am: 21. November 2008, 14:31:26 Uhr »

und danch geht das System wieder einwandfrei oder muss ich dann noch was machen?
Gespeichert
ladolce
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 30

« Antwort #5 am: 21. November 2008, 16:10:32 Uhr »

Achja Antivir hat diesen Trojaner gefunden Vundo.Md
Gespeichert
Masso
Poweruser
******

Ranking: 9
Offline Offline

Geschlecht: Männlich
Beiträge: 1317

Guckste weiter

« Antwort #6 am: 21. November 2008, 17:26:01 Uhr »

Danach mal rebooten und neu scannen und das hier wieder am besten posten :)
Gespeichert
Welche Zahl nennt man die Unglückszahl? 218593! Weil: Wenn 2 sich 1 sind und nicht 8 geben, wissen sie spätestens in 5 Wochen, daß sie in 9 Monaten 3 sind...
ladolce
Newbie
*

Ranking: 0
Offline Offline

Beiträge: 30

« Antwort #7 am: 21. November 2008, 18:40:10 Uhr »

Sag mal könnte ich das mit ner Systemwiederherstellung hinkriegen. dh den Wiederherstellungspuntk auf den Tag vor dem Befall...
Gespeichert
tyco
Admin
******

Ranking: 713
Offline Offline

Geschlecht: Männlich
Beiträge: 20346


HWE rocks!

« Antwort #8 am: 21. November 2008, 18:51:26 Uhr »

Sollte funktionieren.
Gespeichert
Bitte keine Supportanfragen per PM stellen.
Seiten: [1] Nach oben Thema versenden Drucken 
HWE-Forum.de  |  Internet und Co.  |  Schutz & Sicherheit (Moderatoren: TMK, American, gandal)  |  Thema: Bitte um Hilfe-vermutlich Trojanerbefall « vorheriges nächstes »
 

Impressum | SMF 2.0.15 | SMF © 2011, Simple Machines
Seite erstellt in 0.124 Sekunden mit 25 Abfragen.