Hallo,

Ich hab erstmal versucht die Tipps zu benutzen, welche hier und auf anderen Seiten schon aufgezeigt wurden, aber bei mir klappt es leider nicht TR/Vundo.Gen zu löschen.

Die Datei C:\Windows\System32\jkkji.dll ist infiziert... (Sagt Antivir)

So, nun googelte ich und fand ein paar gute Beiträge, dir mir aber leider nicht weiterhelfen konnten. Zuerst versuchte ich es mit dem Vundofixprogramm. Dort fand ich eine Datei: C:\Windows\System32\cbxwtsg.dll

Als ich diese Datei entfernen wollte, erhielt ich einen Bluescreen... Also versuchte ich es mit nem neuen Tipp (von nem Freund). Ich solle mein Antivirenprog ausstellen und nochmal suchen. Dieses Mal fand ich noch mehr Dateien und auch die obige Datei war zu finden, aber das Fixen schlug wieder fehl -> Blue Screen

(Dateien, die gefunden wurden: C:\Windows\System32\jkkji.dll, .ini, ini2, bak1, bak2 und tmp)

Ein Freund von mir meinte, dass da noch die Quelldateien des Trojaners fehlen und gab mir den Tipp EScan zu laden. Das Problem ist bloss, dass sobald ich den Scan "Computer scannen" starte, einen Blue Screen erhalte.

Das Rootkitsearchtool von F-Secure namens Blacklight förderte nichts zu Tage.

Nun war noch die Möglichkeit mitm abgesicherten Modus und dort nochmals zu scannen, aber ich komme gar nicht erst zur Oberfläche... Der PC startet ohne Fehlermeldung einfach neu

Wisst ihr noch einen Rat oder sollte ich neuinstallieren, wozu ich relativ wenig Lust habe...

Wenn euch noch etwas fehlt oder ihr es in präziseren Ausführungen braucht, dann sagt es und ich werde es ggf. ergänzen.

Ok, hoffe, dass ihr mir helfen könnt.

MfG GorillazZz

Vorbildliche Beschreibung!

Zitat:

Zitat von GorillazZz

Ein Freund von mir meinte, dass da noch die Quelldateien des Trojaners fehlen und gab mir den Tipp EScan zu laden. Das Problem ist bloss, dass sobald ich den Scan "Computer scannen" starte, einen Blue Screen erhalte.

Versuch es mal genau nach der Anleitung in meiner Sig.

obwohl:

Zitat:

Nun war noch die Möglichkeit mitm abgesicherten Modus und dort nochmals zu scannen, aber ich komme gar nicht erst zur Oberfläche... Der PC startet ohne Fehlermeldung einfach neu

Das sieht dann doch nicht so gut aus.

Zitat:

Wisst ihr noch einen Rat oder sollte ich neuinstallieren, wozu ich relativ wenig Lust habe...

Wenn euch noch etwas fehlt oder ihr es in präziseren Ausführungen braucht, dann sagt es und ich werde es ggf. ergänzen.

Ein Hijackthis-Log zur Abrundung wäre nicht verkehrt.

Gruß
Yopie

Ok, hier der HijackThis Logfile... Hatte ich gar nicht drangedacht

Was noch sehr auffällig ist: Der Trojaner meldet sich beim Vundofixscan häufig und auch als ich HijackThis gestartet hab.

Logfile of HijackThis v1.99.1
Scan saved at 20:38:12, on 04.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DynDNS Updater\DynDNS.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Hamachi\hamachi.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Xfire\Xfire.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Dokumente und Einstellungen\Gori\Desktop\Weisseradler-Script 1.071\mirc.exe
C:\PROGRA~1\eScan\eScanWin.exe
C:\PROGRA~1\eScan\kavss.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Gori\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.galaxywarsforum.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.galaxywarsforum.de
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DynDNS Updater] "C:\Programme\DynDNS Updater\DynDNS.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

Heute habe ich es, oh Wunder, in den abgesicherten Modus geschafft, aber das Vundofixtool konnte folgende Dateien leider nicht entfernen, wieder Bluescreen...

Zitat:

Zitat von GorillazZz

C:\Windows\System32\cbxwtsg.dll
C:\Windows\System32\jkkji.dll, .ini, ini2, bak1, bak2 und tmp