Forum
Tipps
News
Menu-Icon

trojaner TR/Vundo.FUL.9.A

Hallo.

mein antivir meldet seit heute morgen diesen trojaner: TR/Vundo.FUL.9.A

nun folgendes problem:
weder mit antivir/highjackthis o.ä. bekomme ich ihn runter.
auch vundo-removals/combofix zeigten keine wirkung.

da sich der trojaner vor highjackthis versteckt, habe ich nach einer internetanleitung highjackthis umbenannt und nochmals laufen lassen. auch hier keine chance.

versteckte ordner anzeigen lassen etc. habe ich auch versucht, er wird trotzdem nicht angezeigt.

hier noch den pfad des fundes:
C:\WINDOWS\system32\.274f37b8f1e7d707\274f37b8f1e7d707.core.dll

hier noch ein hij-log:

Logfile of HijackThis v1.99.1
Scan saved at 14:03:35, on 20.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\MSI\US54EX\Installer\WINXP\MSI US54EX Wireless Client Utility.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\sicherheit.com\hjt.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MSI US54EX Wireless Client Utility.lnk = C:\Programme\MSI\US54EX\Installer\WINXP\MSI US54EX Wireless Client Utility.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206349511515
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



wäre schön wenn mir jemand helfen könnte.
lg
 



Antworten zu trojaner TR/Vundo.FUL.9.A:

Das übliche pogramm:
Daten mit knoppix sichern,system neuinstalieren.Reinigen wird wenig bix nix bringen,vom restrisiko mal abgesehen.
Oder Du wartest,bis Du hier kontakt mit den voodoo priestern bekommst,die helfen die sicher.
Oder wie waren deine vorstellungen bezüglich hilfe?

Das übliche pogramm:
Daten mit knoppix sichern,system neuinstalieren.Reinigen wird wenig bix nix bringen,vom restrisiko mal abgesehen.
Oder Du wartest,bis Du hier kontakt mit den voodoo priestern bekommst,die helfen die sicher.
Oder wie waren deine vorstellungen bezüglich hilfe?

ja, neu aufsetzen wäre wohl die beste möglichkeit.
allerdings ist das system erst seit kurzem drauf und ich verfüge nur über eine 300 kbit leitung.
jetzt kannst du dir vorstellen wie lange es ungefähr dauern würde z.B. das SP3 zu laden :-(

richtig. sehr sehr lange... :-(

was du mit voodoo-priestern meinst weiß ich nicht, ist mir ehrlich gesagt auch egal.

mir wurde bis jetzt immer sehr gut weiter geholfen hier.

 

Die Voodoo priester sind die leute,die seltsame reinigungspogramme anpreisen.
Hast Du freunde oder bekannte,die eine schnelle leitung haben? wenn ja,bitte auf eine externe platte mit ausreichend speicherplatz dies hier laden:
http://www.jenskaminsky.de/weiter/soft.html
Das Tool bei bekannten oder freund von platte starten und alle patches laden.Sodann system zuhaus neu aufsetzen und patches offline instalieren.was dann noch fehlt,kann man auch mit einer 300 kb leitung bequem holen.ist nicht allzuviel.
Bei intresse können wir dir helfen,dein system abzusichern,damit gäste nicht wieder herein kommen.
Ein imagepogramm wie Acronis true image wäre sehr zu empfehlen.
Am besten aber mit Nlite eine Cd mit SP3 und allen patches machen.

hmm...
das mit dem tool werd ich auf jeden fall versuchen!
scheint ziemlich gut zu sein. (zeitersparnis)

hab den trojaner auch gerade runter bekommen :-)

war auf jeden fall ein ziemlich fieses teil :D

denke so kann ich in ruhe das system am we neu aufsetzen.
das mit den image würde mich auch interressieren, hast du vllt mehr infos oder eine anleitung zu?
hab da bis jetzt noch keine erfahrungen mit gemacht.

lg

Für image hätte ich eine option,die möchte ich hier aber nicht verlinken.Mir ist vor einiger zeit durch einen böösen viruns eine iso datei zugelaufen,nach dem brennen war irgendetwas von Acronis drauf.
alternativ Kaufe Dire Acronis true image,dazu eine weitere festplatte,am besten mit IDe anschluß.Diese platte wird zum aufbewahren deiner images genutzt,hier ist wichtig,das die schnittstelle immer erkannt wird,nicht die geschwindigkeit.
Ist jedoch nur meine meinung,andere mögen hier gnadenlos SATA nehmen.

hört sich gut an,
das mit der festplatte ist kein problem,
hab ich noch :-)

denke mal ich werd mich da bisschen durchgooglen und das mal versuchen...

vielen dank
Mitch

Probier mal das Tool hier aus:

http://www.malwarebytes.org/mbam.php

(Malewarebytes Anti-Maleware)

Bei mir hats geholfen. Ich weiß das dadurch ein REstrisiko besteht und bla bla bla aber bei mir hats geholfen...


« AliceCnn Gut oder Böse?Windows Vista: Bullguard-Popup »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...