Trojaner TR/VUNDO.Gen - brauche Hilfe

Hallo,
Lade bitte diese Datei bei http://virustotal.com hoch,und poste die ergebnisse.

"C:\WINDOWS\system32\rqnainfk.exe"


Außerdem lasse deinen Pc mit den beiden Online Scannern mal scannen.

F-secure:
http://support.f-secure.de/ger/home/ols.shtml

Panda:
http://www.pandasoftware.com/activescan/de/activescan_principal.htm

Bei beiden muss der internet explorer mit active x benutzt werden,poste die funde hier.


gruß deniz

hier schon einmal von VirusTotal

Antivirus Version letzte aktualisierung Ergebnis

AhnLab-V3 2007.11.8.0 2007.11.07 -
AntiVir 7.6.0.34 2007.11.07 TR/Fotomoto.F.1
Authentium 4.93.8 2007.11.07 -
Avast 4.7.1074.0 2007.11.06 -
AVG 7.5.0.503 2007.11.07 Obfustat.VUL
BitDefender 7.2 2007.11.07 Trojan.Fotomoto.F
CAT-QuickHeal 9.00 2007.11.07 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.11.07 -
DrWeb 4.44.0.09170 2007.11.07 Trojan.EzulaAd
eSafe 7.0.15.0 2007.11.06 Suspicious File
eTrust-Vet 31.2.5276 2007.11.07 -
Ewido 4.0 2007.11.07 -
FileAdvisor 1 2007.11.07 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.07 -
F-Secure 6.70.13030.0 2007.11.07 -
Ikarus T3.1.1.12 2007.11.07 -
Kaspersky 7.0.0.125 2007.11.07 -
McAfee 5158 2007.11.07 -
Microsoft 1.3007 2007.11.07 -
NOD32v2 2644 2007.11.07 -
Norman 5.80.02 2007.11.06 -
Panda 9.0.0.4 2007.11.07 Suspicious file
Prevx1 V2 2007.11.07 ADWARE.FOTOMOTO.F
Rising 20.17.22.00 2007.11.07 -
Sophos 4.23.0 2007.11.07 -
Sunbelt 2.2.907.0 2007.11.07 -
Symantec 10 2007.11.07 Adware.Ezula
TheHacker 6.2.9.118 2007.11.06 -
VBA32 3.12.2.4 2007.11.06 -
VirusBuster 4.3.26:9 2007.11.07 -
Webwasher-Gateway 6.0.1 2007.11.07 Trojan.Fotomoto.F.1
weitere Informationen
File size: 71232 bytes
MD5: 6b1f208c86d8dd606cb1a332b40ea779
SHA1: e9803de35722046bdb64357f4b64a7deedc20712
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=43CE5E4C40E6C39B166801A4F0E9BF0063FC819C
 

Okay also schalte die Systemwiederherstellung aus und fixe folgende einträge.

(ausschalten unter Start -> Zubehör -> Systemprogramme -> Systemwiederherstellung -> Einstellungen -> Deaktivieren.

dann fix die Einträge: (makiere die Einträge und klicke auf fix checked)

O23 - Service: DomainService - - C:\WINDOWS\system32\rqnainfk.exe
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
Mache einen Neustart und Lade dir Killbox runter:
http://www.chip.de/downloads/c1_downloads_20730776.html

Dann öffnest du das Programm und suchst diese Datei.
C:\WINDOWS\system32\rqnainfk.exe

Dann killst du sie damit,und machst wieder einen neustart.Erstelle anschließend ein neuen Logfile mit Hijackthis.

Und lasse Vundo fix dann auch nochmal laufen.

gruß deniz
 

OK , Systemwiederherstellung habe ich ausgeschaltet aber wie fixe ich was ???

Bitte um Geduld , ich hab keine Ahnung !!!  

er meint mit *Hijackthis* die genannten Einträge fixen.
siehe hier eine beschreibung
http://www.computerhilfen.de/hilfen-17-30578-0.html#msg562991 

ja , danke , habs hinbekommen und alles so gemacht wie empfohlen ( leider keine Besserung )

VUNDOFIX hat nichts gefunden

hier der neueste Logfile :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:23, on 07.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\sistray.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\sylvia\LOKALE~1\Temp\Rar$EX00.223\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.koeln.de/
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF1F127D-F83E-4A8D-A12B-C9A02B401E54}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFFBA9A8-EDCD-43C7-9B09-6DA6CDB2FBE4}: NameServer = 192.168.1.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 3297 bytes

Hallo,

nimm dieses Tool.

Anleitung und DOwnload findest Du in dem Thread aus dem Link hier:

http://www.computerhilfen.de/hilfen-17-181536-0.html

Das könnte helfen.

Viel Glück Bernd

danke , hat leider auch nicht geholfen


SmitFraudFix v2.250

Scan done at  0:04:41,46, 08.11.2007
Run from E:\News\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SiS 900-basierte PCI-Fast Ethernet-Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

Description: ASUS USB Wireless Network Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CF1F127D-F83E-4A8D-A12B-C9A02B401E54}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{EFFBA9A8-EDCD-43C7-9B09-6DA6CDB2FBE4}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CF1F127D-F83E-4A8D-A12B-C9A02B401E54}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EFFBA9A8-EDCD-43C7-9B09-6DA6CDB2FBE4}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CF1F127D-F83E-4A8D-A12B-C9A02B401E54}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{EFFBA9A8-EDCD-43C7-9B09-6DA6CDB2FBE4}: NameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

 

In deinem Log hab ich nichts mehr gesehn.

Lade dir Cureit runter und versuche es damit.
Das kostenlose Programm muss nur herunter geladen, eine Installation ist nicht erforderlich und ist vollständig in Deutsch.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
oder
http://www.freedrweb.com/cureit/?lng=de
Wähle nach der kurzen Expressprüfung deine Systempartition aus, in der Regel ist das Laufwerk C und
beginne den vollständigen Scan. Poste bitte bei einen Malware Fund auf jeden Fall den ausführlichen Scanreport von Cureit hier !

Die Aktion muss im abgesicherten Modus von Windows erfolgen und
achte darauf dass der Browser geschlossen ist und keine Internetverbindung besteht, Idealerweise sollten alle Anwendung geschlossen sein !
Unter http://www.bsi.de/av/texte/wiederher.htm
findet man eine Anleitung zum Start im abgesicherten Modus von Windows.


Gruß deniz

Danke Danke

ich hab es heute Morgen schon hinbekommen !!!! Ich hab mir "ComboFix" heruntergeladen ( hatte den Tipp durch googeln ) und weg war er !!!

Danke nochmal an  Alle !!!