|
Plagegeister aller Art und deren Bekämpfung: TR/Vundo.fnr.6Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.10.2008, 08:49 | #16 |
Administrator > Competence Manager | TR/Vundo.fnr.6 Danke @ myrtille Bitte dieses Script ausführen: Scripten mit Combofix
Code:
ATTFilter FILE:: C:\WINDOWS\system32\hhpdrxwn.ini C:\WINDOWS\system32\agnwaglh.ini C:\WINDOWS\system32\vtonurlj.ini C:\WINDOWS\system32\snebnesv.ini
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann Malwarebytes' Anti-Malware
(nach dem scannen auf den Button klicken und Funde löschen lassen!) Wie sieht es dann mit dem System aus, kommen noch Fehlermeldungen? Oder läuft alles wieder so wie es sollte?!
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
01.10.2008, 09:04 | #17 |
| TR/Vundo.fnr.6 Hi Sunny,
__________________Die Meldung von Myrtille hab ich leider zu spät gelesen.. Habe jetzt das erste Skript verwendet, hoffe es ist nicht allzu schlimm hier jedenfalls das log: [QUOTE]ComboFix 08-09-28.05 - Ich 2008-10-01 9:45:55.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.96 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Ich\Desktop\ComboFix.exe Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Ich\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! FILE :: C:\WINDOWS\system32\agnwaglh.ini C:\WINDOWS\system32\hhpdrxwn.ini C:\WINDOWS\system32\snebnesv.ini C:\WINDOWS\system32\vtonurlj.ini . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\agnwaglh.ini C:\WINDOWS\system32\hhpdrxwn.ini C:\WINDOWS\system32\snebnesv.ini C:\WINDOWS\system32\vtonurlj.ini . ((((((((((((((((((((((( Dateien erstellt von 2008-09-01 bis 2008-10-01 )))))))))))))))))))))))))))))) . 2008-10-01 08:27 . 2008-10-01 08:27 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-10-01 08:27 . 2008-10-01 08:27 1,409 --a------ C:\WINDOWS\QTFont.for 2008-10-01 07:59 . 2008-10-01 07:59 <DIR> d-------- C:\Programme\CCleaner 2008-09-30 18:03 . 2008-09-30 18:03 <DIR> d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Malwarebytes 2008-09-30 18:01 . 2008-09-30 18:06 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-30 18:01 . 2008-09-30 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-30 18:01 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-30 18:01 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-29 15:14 . 2008-09-29 15:14 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten 2008-09-28 12:55 . 2008-09-28 12:55 149 --a------ C:\WINDOWS\wininit.ini 2008-09-25 14:49 . 2008-09-25 14:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\CANON 2008-09-25 14:44 . 2008-09-25 14:44 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ 2008-09-25 14:43 . 2007-04-15 22:00 215,040 --a------ C:\WINDOWS\system32\CNMLM8Z.DLL 2008-09-25 14:42 . 2008-09-25 14:42 <DIR> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information 2008-09-25 14:41 . 2008-09-25 14:41 <DIR> d--h----- C:\Programme\CanonBJ 2008-09-25 14:39 . 2008-09-25 14:48 <DIR> d-------- C:\Programme\Canon 2008-09-25 14:20 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2008-09-25 14:20 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys 2008-09-23 17:30 . 2008-09-23 17:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpinTop Games 2008-09-23 16:23 . 2008-09-23 16:23 <DIR> d-------- C:\Programme\Amazing Adventures Around the World 2008-09-23 16:23 . 2008-09-23 16:23 <DIR> d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\SpinTop 2008-09-17 19:24 . 2008-09-17 19:24 <DIR> d-------- C:\Programme\ReflexiveArcade 2008-09-17 19:24 . 2008-09-17 19:35 <DIR> d-------- C:\Programme\Fashion Craze . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-01 06:36 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Vidalia 2008-10-01 06:36 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\tor 2008-10-01 06:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-10-01 06:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-09-28 09:53 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-09-27 12:25 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Azureus 2008-09-25 21:05 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-09-18 14:19 --------- d-----w C:\Programme\Winamp 2008-09-18 14:18 --------- d-----w C:\Programme\Buzzy Bumble 2008-08-19 18:23 --------- d-----w C:\Programme\iPod 2008-08-19 16:50 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Gamelab 2008-08-15 15:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Go-Go Gourmet Chef of the Year 2008-08-09 16:10 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\PlayFirst 2008-08-09 16:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst 2008-08-07 09:34 --------- d-----w C:\Programme\Google 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-07 20:16 253,952 ----a-w C:\WINDOWS\system32\es.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272] "Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-11-22 12889088] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2002-01-09 151552] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2002-01-09 106496] "Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2001-08-09 118784] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-10 385024] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-01-15 267048] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 266497] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-17 185896] "CanonSolutionMenu"="C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696] "CanonMyPrinter"="C:\Programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.yv12"= yv12vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Azureus\\Azureus.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R3 {6D08DE67-D457-4d38-A7F5-D88CCB81EE00};AIM 3.0 NS2501;C:\WINDOWS\system32\drivers\A306.sys [2002-01-15 13881] S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f24de60-3008-11dd-af3e-00e000f5cbe3}] \Shell\AutoRun\command - E:\WD_Windows_Tools\Setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{88527140-94ee-11dc-ade9-00e000f5cbe3}] \Shell\AutoRun\command - G:\pushinst.exe . Inhalt des "geplante Tasks" Ordners . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-01 09:49:04 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-01 9:52:35 ComboFix-quarantined-files.txt 2008-10-01 07:52:30 ComboFix2.txt 2008-10-01 06:36:04 Vor Suchlauf: 1.362.292.736 Bytes frei Nach Suchlauf: 1,347,399,680 Bytes frei 129 --- E O F --- 2008-09-17 17:56:58 |
01.10.2008, 09:05 | #18 |
| TR/Vundo.fnr.6 Ach ja die Meldung
__________________System settings Protector usw. kam wieder die andere nicht!! Danke dir Sunny!! |
01.10.2008, 09:37 | #19 | |
Administrator > Competence Manager | TR/Vundo.fnr.6Zitat:
Mach jetzt den Scan mit Malwarebytes und poste den Report... Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
01.10.2008, 10:45 | #20 | |
| TR/Vundo.fnr.6 O.k. Sunny habe den Scan beendet.. Hier der Report: Zitat:
Danke für deine klasse Hilfe, die sogar ich als laie gut durchführen kann!! Gruß Edi |
01.10.2008, 12:17 | #21 |
Administrator > Competence Manager | TR/Vundo.fnr.6 Hast du dein System nach dem Scan mit Malwarebytes schon mal wieder neu gestartet? Wenn nicht, dann tue dies bitte und berichte ob immer noch eine Fehlermeldung erscheint. Deaktiviere aber bitte vorher unbedingt mal den TeaTimer von Spybot...also schalte ihn komplett ab, erst dann Neustart..
__________________ --> TR/Vundo.fnr.6 |
01.10.2008, 12:20 | #22 |
| TR/Vundo.fnr.6 Hi Sunny! Habe den Neustart gemacht. Schaut alles astrein aus. Hab ich`s jetzt echt überstanden?? Oh man des wär traumhaft. Vielen vielen Dank für deine tolle Hilfe!! Grüße Edi |
01.10.2008, 12:22 | #23 |
Administrator > Competence Manager | TR/Vundo.fnr.6 Wenn es keinerlei Fehlermeldungen mehr gibt nach dem Neustart und auch so das System wieder rund läuft, sollte alles wieder im grünen Bereich sein. Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
01.10.2008, 12:25 | #24 |
| TR/Vundo.fnr.6 Wahnsinn!! :aplaus::aplaus::aplaus: Ich danke dir nochmals sakrisch!!! Sunny is the MAN! The one and only!! DANKE |
01.10.2008, 12:29 | #25 |
Administrator > Competence Manager | TR/Vundo.fnr.6 Bitteschön.. Aber kannst du mir erklären was -> sakrisch ist? EDIT: Habs gefunden http://www.duden.de/duden-suche/werk...sch.57122.html
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
Themen zu TR/Vundo.fnr.6 |
1.tmp, antivir, antivir guard, avira, canon, excel, explorer, firefox, google, hijack, hijackthis, immer wieder, internet, internet explorer, jusched.exe, microsoft, mozilla, programm, programme, rundll, software, stick, stimme, system, temp, trojaner, virus, windows, windows xp, öffnet |