  | |
| Trojaner TR/Vundo.FUL.9.A | |
|
Von: Mitch am 20.11.2008 mein antivir meldet seit heute morgen diesen trojaner: TR/Vundo.FUL.9.A nun folgendes problem: weder mit antivir/highjackthis o.ä. bekomme ich ihn runter. auch vundo-removals/combofix zeigten keine wirkung. da sich der trojaner vor highjackthis versteckt, habe ich nach einer internetanleitung highjackthis umbenannt und nochmals laufen lassen. auch hier keine chance. versteckte ordner anzeigen lassen etc. habe ich auch versucht, er wird trotzdem nicht angezeigt. hier noch den pfad des fundes: C:\WINDOWS\system32\.274f37b8f1e7d707\274f37b8f1e7d707.core.dll hier noch ein hij-log: Logfile of HijackThis v1.99.1 Scan saved at 14:03:35, on 20.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\MSI\US54EX\Installer\WINXP\MSI US54EX Wireless Client Utility.exe C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\sicherheit.com\hjt.com.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: MSI US54EX Wireless Client Utility.lnk = C:\Programme\MSI\US54EX\Installer\WINXP\MSI US54EX Wireless Client Utility.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206349511515 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe wäre schön wenn mir jemand helfen könnte. lg | |
|
Antwort 1 von w am 20.11.2008 Daten mit knoppix sichern,system neuinstalieren.Reinigen wird wenig bix nix bringen,vom restrisiko mal abgesehen. Oder Du wartest,bis Du hier kontakt mit den voodoo priestern bekommst,die helfen die sicher. Oder wie waren deine vorstellungen bezüglich hilfe? | |
|
Antwort 2 von Mitch am 20.11.2008 Das übliche pogramm: Daten mit knoppix sichern,system neuinstalieren.Reinigen wird wenig bix nix bringen,vom restrisiko mal abgesehen. Oder Du wartest,bis Du hier kontakt mit den voodoo priestern bekommst,die helfen die sicher. Oder wie waren deine vorstellungen bezüglich hilfe? ja, neu aufsetzen wäre wohl die beste möglichkeit. allerdings ist das system erst seit kurzem drauf und ich verfüge nur über eine 300 kbit leitung. jetzt kannst du dir vorstellen wie lange es ungefähr dauern würde z.B. das SP3 zu laden :-( richtig. sehr sehr lange... :-( was du mit voodoo-priestern meinst weiß ich nicht, ist mir ehrlich gesagt auch egal. mir wurde bis jetzt immer sehr gut weiter geholfen hier. | |
|
Antwort 3 von w am 20.11.2008 Hast Du freunde oder bekannte,die eine schnelle leitung haben? wenn ja,bitte auf eine externe platte mit ausreichend speicherplatz dies hier laden: http://www.jenskaminsky.de/weiter/soft.html Das Tool bei bekannten oder freund von platte starten und alle patches laden.Sodann system zuhaus neu aufsetzen und patches offline instalieren.was dann noch fehlt,kann man auch mit einer 300 kb leitung bequem holen.ist nicht allzuviel. Bei intresse können wir dir helfen,dein system abzusichern,damit gäste nicht wieder herein kommen. Ein imagepogramm wie Acronis true image wäre sehr zu empfehlen. Am besten aber mit Nlite eine Cd mit SP3 und allen patches machen. | |
|
Antwort 4 von Mitch am 20.11.2008 das mit dem tool werd ich auf jeden fall versuchen! scheint ziemlich gut zu sein. (zeitersparnis) hab den trojaner auch gerade runter bekommen :-) war auf jeden fall ein ziemlich fieses teil  denke so kann ich in ruhe das system am we neu aufsetzen. das mit den image würde mich auch interressieren, hast du vllt mehr infos oder eine anleitung zu? hab da bis jetzt noch keine erfahrungen mit gemacht. lg | |
|
Antwort 5 von w am 20.11.2008 alternativ Kaufe Dire Acronis true image,dazu eine weitere festplatte,am besten mit IDe anschluß.Diese platte wird zum aufbewahren deiner images genutzt,hier ist wichtig,das die schnittstelle immer erkannt wird,nicht die geschwindigkeit. Ist jedoch nur meine meinung,andere mögen hier gnadenlos SATA nehmen. | |
|
Antwort 6 von Mitch am 22.11.2008 das mit der festplatte ist kein problem, hab ich noch :-) denke mal ich werd mich da bisschen durchgooglen und das mal versuchen... vielen dank Mitch | |
|
Antwort 7 von Tabris am 25.11.2008 http://www.malwarebytes.org/mbam.php (Malewarebytes Anti-Maleware) Bei mir hats geholfen. Ich weiß das dadurch ein REstrisiko besteht und bla bla bla aber bei mir hats geholfen... | |
| « zurück | Antworten |
