brauche Hilfe beim Entfernen vom vundo.gen Virus (Cyrus1932)

Cyrus1932
Gast

« am: 04.12.08, 21:37:23 »

hallo

habe mir den vundo.gen Virus eingefangen, und versuche nach der Anleitung vorzugehen:

habe zuerst den CCleaner angewandt.

danach Malwarebytes einen kompletten Scan durchlaufen lassen und alle Funde gelöscht.
Logdatei:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1460
Windows 5.1.2600 Service Pack 2

04.12.2008 21:21:33
mbam-log-2008-12-04 (21-21-33).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 283827
Laufzeit: 46 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqribywt (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f62817df-b094-4ac5-8620-f858cefdfcf1} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f62817df-b094-4ac5-8620-f858cefdfcf1} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\rqRIbywt.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eenxyg.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{36F0C391-D442-44F4-99F8-AEAC5FC30917}\RP385\A0138174.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{36F0C391-D442-44F4-99F8-AEAC5FC30917}\RP385\A0138175.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{36F0C391-D442-44F4-99F8-AEAC5FC30917}\RP385\A0138176.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
E:\Music\Sammlungen\emule\Sony Vegas 5.0 and DVDArchitect 2+ Keygen\Sony Vegas 5.0 and DVDArchitect 2+ Keygen\Vegas5_Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Music\Sammlungen\emule\Sony.Vegas.v5.0a.and.Sony.DVD.Achitect.v2.0.Incl.Keygens-RENEGADE\Vegas5_keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Programme\Sony Vegas 7 + DVD Architect 4\DVD Architect 4.0.125\Sony DVD Architect v4.0 Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\Programme\Sony Vegas 7 + DVD Architect 4\Vegas 7.0a\Sony Vegas v7.0a Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Danach den WindowsScan durchgeführt.
Logdatei:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

04.12.2008 wiadebug.log 19 24:159
04.12.2008 wiaservc.log 19 24:50
04.12.2008 bootstat.dat 19 24:2.048
04.12.2008 SchedLgU.Txt 19 11:32.630
04.12.2008 win.ini 18 58:614
04.12.2008 system.ini 18 58:227
04.12.2008 NeroDigital.ini 18 00:116
04.12.2008 HCWPNP.INI 08 58:6.363
30.11.2008 psnetwork.ini 17 02:865
30.11.2008 Powerplayer.ini 17 02:1.028
30.11.2008 PPSMediaList.ini 17 02:113
30.11.2008 msgtn.ini 17 02:29
23.11.2008 setupapi.log.0.old 23 05:1.058.001
19.11.2008 QTFont.qfn 14 41:54.156
19.11.2008 PCDNSetting.ini 14 25:43
09.11.2008 gswin32.ini 16 46:43
19.10.2008 vtplus32.ini 17 39:399
19.10.2008 Irremote.ini 17 39:32.135
19.10.2008 ODBC.INI 17 38:507
19.10.2008 ODBCINST.INI 17 38:4.161
15.10.2008 oodcnt.INI 09 05:0
13.10.2008 QTFont.for 20 28:1.409
04.10.2008 disney.ini 10 49:940
01.10.2008 PhotoSnapViewer.INI 13 17:151
27.08.2008 BRPP2KA.INI 13 51:27
27.08.2008 BRWMARK.INI 13 51:425
01.07.2008 War3Unin.dat 21 35:163.194

Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

04.12.2008 perfh009.dat 19 28:448.462
04.12.2008 perfh007.dat 19 28:463.834
04.12.2008 perfc009.dat 19 28:75.040
04.12.2008 perfc007.dat 19 28:87.086
04.12.2008 PerfStringBackup.INI 19 28:1.089.164
04.12.2008 nvapps.xml 19 24:191.909
04.12.2008 wpa.dbl 19 24:13.646
04.12.2008 oodbs.lor 19 24:95.775
04.12.2008 QXIRBJlm.ini 18 56:542.075
04.12.2008 QXIRBJlm.ini2 18 54:542.075
04.12.2008 eegwdeuc.ini 00 14:1.450.703
04.12.2008 530e97d8-.txt 00 11:0
24.11.2008 FNTCACHE.DAT 08 51:291.680
21.11.2008 winaj77.dll 20 15:401.408
19.10.2008 HCW_ChanDB.LOG 17 38:50.988
17.09.2008 nvcpl.cpl 08 55:420.384
17.09.2008 nvcpl.dll 08 55:13.574.144
17.09.2008 nvcplui.exe 08 55:797.216
17.09.2008 nvsvc32.exe 08 55:163.908
17.09.2008 nvtuicpl.cpl 08 55:73.728
17.09.2008 nvudisp.exe 08 55:453.152
17.09.2008 nvrshe.dll 08 55:331.776
17.09.2008 nvvitvs.dll 08 55:3.764.224
17.09.2008 nvrszht.dll 08 55:122.880
17.09.2008 nvcpluir.dll 08 55:1.108.512
17.09.2008 nvcuda.dll 08 55:1.368.064
17.09.2008 nvrshu.dll 08 55:258.048
17.09.2008 nvdisp.nvu 08 55:18.394
17.09.2008 nvrszhc.dll 08 55:225.280
17.09.2008 nvapps.nvb 08 55:201.050
17.09.2008 nvrsit.dll 08 55:278.528
17.09.2008 nvcolor.exe 08 55:143.360
17.09.2008 nvappbar.exe 08 55:449.056
17.09.2008 nvrsfr.dll 08 55:282.624
17.09.2008 nvrsfi.dll 08 55:249.856
17.09.2008 nvrsesm.dll 08 55:274.432
17.09.2008 nvrses.dll 08 55:282.624
17.09.2008 nvvitvsr.dll 08 55:4.149.248
17.09.2008 nvwddi.dll 08 55:81.920
17.09.2008 nvrseng.dll 08 55:245.760
17.09.2008 nvwdmcpl.dll 08 55:1.724.416
17.09.2008 nvshell.dll 08 55:466.944
17.09.2008 nvrsel.dll 08 55:282.624
17.09.2008 nvcodins.dll 08 55:122.880
17.09.2008 nvdspsch.exe 08 55:1.346.080
17.09.2008 nvwimg.dll 08 55:1.101.824
17.09.2008 nvwrsar.dll 08 55:282.624

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
81.31.239.161 paypal.com

***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****

Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 28 K
System 4 Console 0 260 K
smss.exe 908 Console 0 724 K
csrss.exe 1000 Console 0 6.580 K
winlogon.exe 1028 Console 0 16.092 K
services.exe 1072 Console 0 4.156 K
lsass.exe 1084 Console 0 1.372 K
svchost.exe 1260 Console 0 5.192 K
svchost.exe 1324 Console 0 4.364 K
svchost.exe 1444 Console 0 32.052 K
svchost.exe 1484 Console 0 3.388 K
svchost.exe 1532 Console 0 3.340 K
svchost.exe 1684 Console 0 7.088 K
spoolsv.exe 1848 Console 0 7.264 K
avguard.exe 1896 Console 0 9.572 K
explorer.exe 324 Console 0 61.216 K
avgnt.exe 436 Console 0 1.040 K
TrueImageMonitor.exe 460 Console 0 4.392 K
TimounterMonitor.exe 540 Console 0 5.888 K
schedhlp.exe 548 Console 0 2.260 K
RTHDCPL.exe 572 Console 0 23.336 K
SSMMgr.exe 636 Console 0 3.080 K
rundll32.exe 644 Console 0 3.560 K
ctfmon.exe 1564 Console 0 3.732 K
daemon.exe 1572 Console 0 10.148 K
schedul2.exe 1716 Console 0 2.452 K
sched.exe 532 Console 0 1.776 K
FileZilla server.exe 704 Console 0 2.700 K
kavsvc.exe 732 Console 0 26.728 K
nvsvc32.exe 816 Console 0 4.396 K
oodag.exe 836 Console 0 5.412 K
PnkBstrA.exe 888 Console 0 2.440 K
PnkBstrB.exe 996 Console 0 2.616 K
klswd.exe 412 Console 0 1.000 K
svchost.exe 1612 Console 0 4.868 K
alg.exe 2452 Console 0 3.572 K
svchost.exe 3124 Console 0 3.536 K
rundll32.exe 2832 Console 0 2.608 K
Skype.exe 2760 Console 0 47.812 K
notepad.exe 3368 Console 0 3.384 K
firefox.exe 1676 Console 0 94.056 K
mbam.exe 2480 Console 0 28.604 K
PowerDVD.exe 2460 Console 0 49.692 K
notepad.exe 2960 Console 0 3.392 K
cmd.exe 768 Console 0 1.776 K
tasklist.exe 3592 Console 0 4.352 K
wmiprvse.exe 628 Console 0 5.544 K

Microsoft Windows XP [Version 5.1.2600]

http://www.paules-pc-forum.de
***** Malware Team *****

***** Ende des Scans 04.12.2008 um 21:24:08,12 ***

« Letzte Änderung: 04.12.08, 21:40:51 von Cyrus1932 »

Moderator informieren

Cyrus1932
Gast

Re: brauche Hilfe beim Entfernen vom vundo.gen Virus

« Antwort #1 am: 04.12.08, 21:39:47 »

Fortsetzung:

den onlineScan von Kaspersky konnte mein Internet Explorer nicht durchführen, obwohl ich dafür die ActiveX Elemente zugelassen habe.Beim Update der Datenbanken kam die Fehlermeldung "Lizenz für Kaspersky OnlineScanner"

habe dann weitergemacht mit dem HJT
Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:32:25, on 04.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
e:\Programme\FileZilla Server\FileZilla Server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
E:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Cyberlink\PowerDVD\PowerDVD.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
E:\Eigene Dateien\virus\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
O1 - Hosts: 81.31.239.161 paypal.com
O2 - BHO: (no name) - {178D4ADF-8F1F-4D71-AAD6-DC253536370F} - C:\WINDOWS\system32\mlJBRIXQ.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Mirar - {D8827200-3B2C-4418-8186-2C74F960B8DE} - C:\WINDOWS\system32\winaj77.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] e:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: iOpus iMacros - {0483894E-2422-45E0-8384-021AFF1AF3CD} - E:\Programme\iMacros\imacros.dll
O9 - Extra 'Tools' menuitem: iMacros Web Automation - {0483894E-2422-45E0-8384-021AFF1AF3CD} - E:\Programme\iMacros\imacros.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - e:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - E:\Programme\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - E:\Programme\PPLive\PPLive.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.antimalwareguard.com
O15 - Trusted Zone: *.antispyexpert.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.spyguardpro.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusremover2008.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.antimalwareguard.com (HKLM)
O15 - Trusted Zone: *.antispyexpert.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.spyguardpro.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusremover2008.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {688C15EE-9C38-471D-9E46-BB842E30246F} (ChatCommControl Control) - http://www.playple.com/liveviewer/cab/NChat7.cab
O16 - DPF: {8EEB54D5-CC70-40E4-B015-AC478C02ECC8} (SLViewer Control) - http://www.playple.com/liveviewer/cab/SLViewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC9B25BC-F998-4C19-8E8F-E65938E33926}: NameServer = 213.191.74.19,213.191.74.18
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: eenxyg.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing)
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing)
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - E:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing)
O23 - Service: CyberLink Live Monitor Service - Unknown owner - e:\Programme\CyberLink\CyberLink Live\CLSomaMonitorService.exe (file missing)
O23 - Service: CyberLink Live Push Update Service - Unknown owner - e:\Programme\CyberLink\CyberLink Live\CLPushUpdateService.exe (file missing)
O23 - Service: CyberLink Live Service - Unknown owner - e:\Programme\CyberLink\CyberLink Live\CLSomaService.exe (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - e:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - e:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 10021 bytes

Ich wäre für weiterführende Hilfe sehr dankbar

gruß Daniel

Moderator informieren

Knut aus Berlin
Gast

Re: brauche Hilfe beim Entfernen vom vundo.gen Virus

« Antwort #2 am: 04.12.08, 22:15:31 »

Zitat

versuche nach der Anleitung vorzugehen:

Welche Anleitung?

Die Maßnahmen sind ganz einfach

Zitat

Ich wäre für weiterführende Hilfe sehr dankbar

alles plätten und Neuinstallation

Moderator informieren

Cyrus1932
Gast

Re: brauche Hilfe beim Entfernen vom vundo.gen Virus

« Antwort #3 am: 04.12.08, 22:27:21 »

Zitat von: Knut aus Berlin am 04.12.08, 22:15:31

Welche Anleitung?

Die Maßnahmen sind ganz einfach

alles plätten und Neuinstallation

warum meinst du, dass ich nichts mehr machen kann, außer "alles zu plätten"?
und falls da die einzige Möglichkeit ist den Virus loszuwerden, kann vorher meine Daten noch auf eine externe Festplatte kopieren? vorrausgesetzt ich prüfe diese Daten vorher.

oder reicht es vielleicht nur die Windows Partition zu löschen?

Moderator informieren

w
Gast

Re: brauche Hilfe beim Entfernen vom vundo.gen Virus

« Antwort #4 am: 04.12.08, 22:37:32 »

Daten mit knoppix sichern,diese daten als infiziert behandeln,bis gegenteil erwiesen ist.Danach platte komplet formatieren,alles andere ist spielerei und zeitverschwendung.sollte dies nicht genehm sein,bastele weiter,Du wirst die folgen zu verantworten haben.

Moderator informieren

Knut aus Berlin
Gast

Re: brauche Hilfe beim Entfernen vom vundo.gen Virus

« Antwort #5 am: 04.12.08, 22:42:03 »

Zitat

kann vorher meine Daten noch auf eine externe Festplatte kopieren? vorrausgesetzt ich prüfe diese Daten vorher.

Daten kannst du als infiziert betrachten!

Wie willst du sie prüfen?
Mit deinem jetzigen System?

Oder natürlich kannst du auch die gesamte Palette der Systemreinigungs/Systemschutztool ausprobieren.

Aber wie du vllt. mitbekommen hast, haben deine installierten Tools nicht weit geholfen.

Vllt. denkst du auch mal über dein Surfverhalten nach!

Moderator informieren

Cyrus1932
Gast

Re: brauche Hilfe beim Entfernen vom vundo.gen Virus

« Antwort #6 am: 04.12.08, 22:54:35 »

Zitat von: Knut aus Berlin am 04.12.08, 22:42:03

Daten kannst du als infiziert betrachten!

Wie willst du sie prüfen?
Mit deinem jetzigen System?

Oder natürlich kannst du auch die gesamte Palette der Systemreinigungs/Systemschutztool ausprobieren.

Aber wie du vllt. mitbekommen hast, haben deine installierten Tools nicht weit geholfen.

Vllt. denkst du auch mal über dein Surfverhalten nach!

ich kann diese Dateien ja durchaus von einem unabhängigen Onlinescanner durchsuchen lassen. Dieser dürfte trotz meines Systems, die inzifierten Daten erkennen.
Der Virus ist nicht aufgrund meiner fehlenden Tools auf mein PC gekommen, sondern aufgrund "schlechter" Routereinstellungen, welche ich inzwischen geändert habe.
Falls du mit den installierten Tools die oben aufgeführten meinst, die sind zu Diagnose nicht zur Vorbeugung gedacht.
Die Anleitung von der ich geschrieben habe, steht im Sticky Thread dieses Forums

gruß Daniel

Moderator informieren

w
Gast

Re: brauche Hilfe beim Entfernen vom vundo.gen Virus

« Antwort #7 am: 04.12.08, 23:42:45 »

Bist Du merkbefreit worden oder warum schreibst Du wirre sachen? Das system ist verseucht,auf einem verseuchten system kann man nix mehr prüfen.Solltest Du dies nicht verstanden haben,mache dich mit der funktion der onlinescanner vertraut.Die gäste bei dir kennen diese scanner natürlich nicht,kommen ja frisch ins system...

Moderator informieren

Cyrus1932
Gast

Re: brauche Hilfe beim Entfernen vom vundo.gen Virus

« Antwort #8 am: 04.12.08, 23:58:26 »

Zitat von: w am 04.12.08, 23:42:45

Bist Du merkbefreit worden oder warum schreibst Du wirre sachen? Das system ist verseucht,auf einem verseuchten system kann man nix mehr prüfen.Solltest Du dies nicht verstanden haben,mache dich mit der funktion der onlinescanner vertraut.Die gäste bei dir kennen diese scanner natürlich nicht,kommen ja frisch ins system...

woher soll ich wissen ob die Gäste(sind schließlich Gäste, nicht registrierte Benutzer) onlinescanner kennen oder nicht?
Kannst du mir erklären, warum der onlinescanner sich nicht dafür eignet, z.b. mp3 dateien zu untersuchen, bevor ich sie auf z.b. einer externen festplatte sichere?
Es geht nicht darum mein gesamtes System mit dem Onlinescanner zu reinigen.

gruß Daniel

Moderator informieren

w
Gast

Re: brauche Hilfe beim Entfernen vom vundo.gen Virus

« Antwort #9 am: 05.12.08, 00:19:57 »

System ist verseucht,ob genehm oder nicht.Deswegen ist erst ein sauberes system erforderlich.desweiteren verwenden diese onlinescanner höchst fragwürdige technik.AcriveX war in der vergangenheit schon oft ziel von schädlichen pogrammen.
ein untersuchen der gesicherten daten kann an anderem rechner erfolgen,sofern der angemeldete benutzer keine adminrechte hat.
wie autoren von viren und co vorgehen,ist sicher nicht für Deine phantasie greifbar,oder?
Sie testen ihr "produkt" mit allen gängigen scannern,um zu sehen,ob sie gut vorbeikommen.

Moderator informieren

Knut aus Berlin
Gast

Re: brauche Hilfe beim Entfernen vom vundo.gen Virus

« Antwort #10 am: 05.12.08, 09:52:29 »

Zitat

Der Virus ist nicht aufgrund meiner fehlenden Tools auf mein PC gekommen, sondern aufgrund "schlechter" Routereinstellungen, welche ich inzwischen geändert habe.

Wohl kaum, ein Router ist nicht für das fernhalten von Viren gedacht und fehl konfiguriert nur durch den Benutzer! - also DU!

Man mach die Kiste platt!

Bei diesen Verseuchungsgrad ist es schon gefährlich die Kiste mit Gummihandschuhen an zufassen!

Moderator informieren

Dirk63 (14.625)
Top News Poster

226x Beste Antwort

464x "Danke"

Re: brauche Hilfe beim Entfernen vom vundo.gen Virus

« Antwort #11 am: 05.12.08, 11:28:46 »

Hat dir diese Antwort geholfen?

Sollten deine wichtigen Daten auf einer extra Partition liegen, so reicht es mit der Neuinstallation Laufwerk C zu formatieren. Dann aber bei erhaltenen E-Mails alle zweifelhaften löschen und nicht mehr öffnen, ebensowenig vorher heruntergeladene Tools nochmals verwenden. Besser neu und aktuell herunterladen. Nach Neuinstallation die Daten auf Laufwerk D nochmals prüfen lassen.

Sollte bisher alles auf C lagern, dann bei der Neuinstallation an eine Aufteilung der HD in mehrere Partitionen denken um System und Daten zu trennen.

Wichtigen Daten vor dem formatieren auf eine CD/DVD brennen und diese später vor dem Rückspielen überprüfen. Diese sind nicht zwingend komplett "verseucht"

Moderator informieren

brauche Hilfe beim Entfernen vom vundo.gen Virus

Antworten zu brauche Hilfe beim Entfernen vom vundo.gen Virus:

Re: brauche Hilfe beim Entfernen vom vundo.gen Virus

Mehr zu brauche Hilfe beim Entfernen vom vundo.gen Virus

Hat Ihnen diese Seite geholfen?

« Windows XP: Fehler: server oder dns kann nicht gefunden werden		Comodo Internet Security Warnmeldungen »