| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Gelockter Trojaner, der sich net entfernen lässtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.09.2007, 15:21
| #1 |
| |  Gelockter Trojaner, der sich net entfernen lässt Hallo. Habe wie gesagt einen gelockten Trojaner, und zwar den TR/Vundo.Gen, der sitzt in WINDOWS\system32\xxywxwt.dll. Hab mein LogFile schon auf der Hijack-Seite gepostet, aber das Programm war da noch unbekannt. Hier noch einmal das Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:46:17, on 05.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX55.937\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.trendmicro.com/go/hjt/win9x//?hjtver=2.0.2&winver=Windows%20NT%205.01.2600&iever=6.0.2900.2180 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5621007F-BBEE-4674-8077-94C3591DE7C3} - C:\WINDOWS\system32\xxywxwt.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll O20 - Winlogon Notify: xxywxwt - C:\WINDOWS\SYSTEM32\xxywxwt.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe -- End of file - 3030 bytes Danke vielmals im Voraus für hilfreiche Tips, ich hab schon einiges probiert, aber auch im abgesicherten Modus lässt sich der Trojaner net löschen. |
|
05.09.2007, 15:31
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Gelockter Trojaner, der sich net entfernen lässt Hallo.
__________________Gegen Vundo könnte das hier helfen: * Lade dir vundofix.exeDu hast das erste HJT-Logfile im abgesicherten Modus erstellt - erstell bitte nach dem Vundofix ein weiteres wenn Windows normal gebootet ist und poste es. Mach danach auch mal einen Check mit eScan (link in meiner Signatur) und poste das Logfile.
__________________ |
|
05.09.2007, 15:38
| #3 |
| | Gelockter Trojaner, der sich net entfernen lässt Nein, hilft net, ich habs auch gerade ausprobiert, aber der Trojaner is nach wie vor da. Hier das vundo.fix:
__________________VundoFix V6.5.8 Checking Java version... Sun Java not detected Scan started at 16:22:11 05.09.2007 Listing files found while scanning.... C:\windows\system32\drvbujr.dll C:\windows\system32\drvfomr.dll C:\windows\system32\xxywxwt.dll Beginning removal... Attempting to delete C:\windows\system32\drvbujr.dll C:\windows\system32\drvbujr.dll Has been deleted! Attempting to delete C:\windows\system32\drvfomr.dll C:\windows\system32\drvfomr.dll Has been deleted! Attempting to delete C:\windows\system32\xxywxwt.dll C:\windows\system32\xxywxwt.dll Could not be deleted. Performing Repairs to the registry. Done! |
|
05.09.2007, 16:26
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Gelockter Trojaner, der sich net entfernen lässt Was ist denn mitm eScan? Mach auch mal folgendes: Kopiere dir dieses Script auf dem Desktop und führe es aus - poste den Inhalt des danach aufpoppenden Editors hier als CODE herein.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
| Themen zu Gelockter Trojaner, der sich net entfernen lässt |
| abgesicherten modus, adobe, adobe reader, antivir, antiwpa, avg, avgnt, avgnt.exe, avira, bho, ctfmon.exe, entfernen, explorer, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, löschen, messenger, micro, microsoft, pop-up-blocker, programm, programme, s-1-5-18, software, system, temp, tr/vundo.gen, trend micro, trojaner, urlsearchhook, windows, windows messenger, windows xp, yahoo |
Linear-Darstellung
