| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Vundo.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
28.05.2008, 22:06
| #16 |
 |  TR/Vundo.Gen Hi, ich gehe auf: start-> computer-> C:\-> Windows-> System32-> ...und kopiere ALLES??? Da zeigt er mir eine Größe von knapp 2,6 GB !!! Ist das richtig so? Oder stehe ich jetzt auf dem Schlauch?!?! |
|
28.05.2008, 22:11
| #17 |
| /// TB-Ausbilder     | TR/Vundo.Gen Äh nein, das war wohl etwas undeutlich ausgedrückt.
__________________ Du erstellst das Log mit filelist. In diesem Log sind die Dateien in den verschiedener Ordner namentlich gelistet (C:\, C:\windows,C:\windows\system32...); in diesem Fall interessiert mich nur der Inhalt von C:\windows\system32. Also nur den Teil des Logs posten.  lg myrtille
__________________ |
|
28.05.2008, 22:16
| #18 |
| | TR/Vundo.Gen Ach so....
__________________..im Editor steht aber das hier: not supported windows version ---------------------------------------- Microsoft Windows [Version 6.0.6000] |
|
28.05.2008, 22:39
| #19 |
| /// TB-Ausbilder | TR/Vundo.Gen Sorry, ich bin offensichtlich schon zu müde.  Das hier wäre der für dich korrekte Link: klick Ich meld mich dann morgen wieder.  lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
29.05.2008, 14:42
| #20 |
| | TR/Vundo.Gen Kein Thema :-) habe Frühschicht und bin um die Zeit auch nicht so fit. Nachdem ich die BAT starte, kommt im Editor die Aufforderung "beliebige Taste drücken". Danach öffnet sich ein Windows-Fenster (siehe Anhang). |
|
29.05.2008, 16:55
| #21 |
| /// TB-Ausbilder | TR/Vundo.Gen Führe die bat per Rechtsklick als Administrator aus. Sonst darf er die Datei nicht erstellen, in die er das gerne schreiben würde. lg myrtille
__________________ --> TR/Vundo.Gen |
|
29.05.2008, 17:08
| #22 |
| | TR/Vundo.Gen Hier der link zu file-upload.net File-Upload.net - Ihr kostenloser File Hoster! sag mir bescheid, wann ich das Upgeloadete Zeug dort wieder entfernen kann. Danke. |
|
29.05.2008, 17:18
| #23 |
| /// TB-Ausbilder | TR/Vundo.Gen Hi, Datei ist da Ich denke ich weiß auch wer die Datei gefressen hat. Schau bitte mal, ob du die Datei in der Quarantäne von Malwarebytes findest. Wenn die Datei dort ist, dann extrahier sie bitte und benenne sie anschließend in "virus.vir" um und lade sie bei virustotal hoch und poste das Ergebnis hier. Mach bitte außerdem eine Suche nach "rundll32.exe" und poste die Funde bitte hier. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
29.05.2008, 17:36
| #24 |
| | TR/Vundo.Gen Hier das Ergebnis von virustotal. AhnLab-V3 2008.5.29.0 2008.05.29 - AntiVir 7.8.0.19 2008.05.28 - Authentium 5.1.0.4 2008.05.28 - Avast 4.8.1195.0 2008.05.29 - AVG 7.5.0.516 2008.05.28 - BitDefender 7.2 2008.05.29 - CAT-QuickHeal 9.50 2008.05.28 - ClamAV 0.92.1 2008.05.28 - DrWeb 4.44.0.09170 2008.05.28 - eSafe 7.0.15.0 2008.05.28 - eTrust-Vet 31.4.5832 2008.05.29 - Ewido 4.0 2008.05.28 - F-Prot 4.4.4.56 2008.05.28 - F-Secure 6.70.13260.0 2008.05.29 - Fortinet 3.14.0.0 2008.05.29 - GData 2.0.7306.1023 2008.05.29 - Ikarus T3.1.1.26.0 2008.05.29 - Kaspersky 7.0.0.125 2008.05.29 - McAfee 5305 2008.05.28 - Microsoft 1.3520 2008.05.29 - NOD32v2 3142 2008.05.28 - Norman 5.80.02 2008.05.28 - Panda 9.0.0.4 2008.05.28 - Prevx1 V2 2008.05.29 - Rising 20.46.30.00 2008.05.29 - Sophos 4.29.0 2008.05.29 - Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.29 - TheHacker 6.2.92.322 2008.05.28 - VBA32 3.12.6.6 2008.05.28 - VirusBuster 4.3.26:9 2008.05.28 - Webwasher-Gateway 6.6.2 2008.05.28 - weitere Informationen File size: 44544 bytes MD5...: 4b555106290bd117334e9a08761c035a SHA1..: 2d77b2ac185828a6300c8838355444279929bcb0 SHA256: 8a3808fbc197040bf0c65084514e8441e35ffff8e31980f9ce1f41ed65e08437 SHA512: 257dfea475cd72010ac52c3298a0ec43f682b8f5c121fafb65a3b256ad91e44b d60decfa119b1889380e0ee88e64866965230e1d1f0016de28e00936e21f3c94 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1001487 timedatestamp.....: 0x4549b0e1 (Thu Nov 02 08:48:33 2006) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x393d 0x3a00 6.42 0344752302358062d9dc01b4216ea594 .data 0x5000 0x3c0 0x400 0.22 0d1d63b6d48eaa1443c6d701ea3bc2c2 .rsrc 0x6000 0x6710 0x6800 5.68 e42ace62b4008a6f6bec2f4a53a61bff .reloc 0xd000 0x254 0x400 4.57 7db228b6f3ae4823ee322fe5bd961252 ( 5 imports ) > KERNEL32.dll: QueryActCtxW, CloseHandle, SetFilePointer, ReadFile, CreateFileW, LocalFree, lstrlenA, WideCharToMultiByte, LocalAlloc, lstrlenW, GetProcAddress, WaitForSingleObject, CreateProcessW, Wow64EnableWow64FsRedirection, GetSystemDirectoryW, GetNativeSystemInfo, IsWow64Process, GetCurrentProcess, GetCommandLineW, FormatMessageW, GetLastError, LoadLibraryW, FreeLibrary, ExitProcess, SetErrorMode, HeapSetInformation, InterlockedCompareExchange, LoadLibraryA, InterlockedExchange, Sleep, GetStartupInfoW, SetUnhandledExceptionFilter, DelayLoadFailureHook, GetModuleHandleA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, CompareStringW, ReleaseActCtx, GetFileAttributesW, SearchPathW, CreateActCtxW, GetModuleHandleW, ActivateActCtx, DeactivateActCtx > USER32.dll: LoadIconW, CharNextW, DefWindowProcW, GetClassLongW, GetClassNameW, GetWindow, GetWindowLongW, SetWindowLongW, SetClassLongW, CreateWindowExW, RegisterClassW, DestroyWindow, LoadStringW, MessageBoxW, LoadCursorW > msvcrt.dll: iswalpha, _wtoi, wcschr, __wgetmainargs, memset, _vsnwprintf, __p__fmode, _controlfp, _except_handler4_common, _terminate@@YAXXZ, __set_app_type, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _exit, _cexit > imagehlp.dll: ImageDirectoryEntryToData > ntdll.dll: NtClose, NtOpenProcessToken, NtSetInformationToken, NtSetInformationProcess, RtlImageNtHeader, NtQueryInformationToken ( 0 exports ) |
|
29.05.2008, 17:43
| #25 |
| | TR/Vundo.Gen Hier das Suchergebnis nach rundll32.exe Er findet eine REG-Datei "cc_20080527_2114.reg", siehe Bild. Wenn ich nur nach "rundll32" suche, kommt außerdem noch ein "rundll32.zip"-Ordner . Geändert von -Mirage- (29.05.2008 um 17:49 Uhr) |
|
29.05.2008, 17:44
| #26 |
| /// TB-Ausbilder | TR/Vundo.Gen Hi, das ist die "normale" rundll32.exe. Du kannst die Datei also wieder ihrem ursprünglichem Namen zuführen und dann sollte alles ok sein. (Ich wollte nur sichergehen, dass die Datei nicht von einem Trojaner verändert worden ist) lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
29.05.2008, 17:52
| #27 | |
| | TR/Vundo.GenZitat:
Danke dir nochmals. |
|
29.05.2008, 17:56
| #28 |
| /// TB-Ausbilder | TR/Vundo.Gen Hi, einfach die Datei, die du vorhin hast auswerten lassen in rundll32.exe umbenennen. Also rechtsklick->umbenennen->namen eingeben->"wollen sie das wirklich tun" bestätigen. Die Datei muss danach noch in den Ordner C:\windows\system32 verschoben/kopiert werden. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
29.05.2008, 18:02
| #29 |
| | TR/Vundo.Gen WOW!!! Danke myrtille:aplaus:  .Das hat ja superschnell geklappt. Wie siehts mit dem Trojaner-Problem aus? Bin ich schon geheilt? Oder wilst du noch ein paar Logs angucken? |
|
29.05.2008, 18:07
| #30 | |
| /// TB-Ausbilder | TR/Vundo.Gen Hi, meines Erachtens bist du eigentlich sauber. Zumindest seh ich in den Logs nichts mehr. Hast du denn noch probleme? lg myrtille EDIT: Den Ordner muss ich wohl übersehen haben: Zitat:
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! Geändert von myrtille (29.05.2008 um 18:14 Uhr) |
|
| Themen zu TR/Vundo.Gen |
| add-on, adobe, appinit_dlls, avira, bho, desktop, drivers, erste mal, explorer, firefox, google, handel, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaspersky, local\temp, logfile, mozilla, mozilla firefox, pdf, rundll, senden, software, symantec, system, temp, toolbars, tr/vundo.gen, tuneup.defrag, urlsearchhook, vista, windows, windows\system32\drivers |
Linear-Darstellung
