|
Plagegeister aller Art und deren Bekämpfung: TR/Vundo.fnr.6Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.09.2008, 17:59 | #1 |
| TR/Vundo.fnr.6 Hallo zusammen. Ich hoffe bei meinem zweiten Versuch mach ich`s richtig, bin nämlich alles andere als ein pc profi. Ich bin von einem Trojaner Namens TR/Vundo.fnr.6 heimgesucht worden. Habe Antivir drüber laufen lassen kann ihn aber nicht löschen. Spybot richtet auch nichts aus. Alle zwei Minuten öffnet sich das Antivir Fenster: Antivir Guard: Achtung Fund, sie haben den Trojaner TR/Vundo.fnr.6 auf ihrem PC. Wie wollen sie vorgehen? Keine der Möglichkeiten, die das Programm anbietet führt zu erfolgen. Hier der Pfad: C:\WINDOWS\system32\ddcBQkJy.dll Zudem öffnen sich im Explorer immer wieder Fenster, die auf einen Virus hinweißen und mögliche Programmme zur Bekämpfung bewerben. Ich hoffe die Angaben stimmen jetzt soweit. Hier noch die HijackThis log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:35:01, on 29.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\avmwlanstick\FRITZWLANMini.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Apoint2K\Apntex.exe D:\Eigene Dateien\audl\software\HiJaTh\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe " O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [BMa752c708] Rundll32.exe "C:\WINDOWS\system32\waepsolg.dll",s O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOKUME~1\Ich\LOKALE~1\Temp\IXP000.TMP\" O4 - HKLM\..\RunOnce: [wextract_cleanup1] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOKUME~1\Ich\LOKALE~1\Temp\IXP001.TMP\" O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKLM\..\RunOnce: [SpybotDeletingC1063] cmd /c del "C:\WINDOWS\system32\ddcBQkJy.dll" O4 - HKLM\..\RunOnce: [SpybotDeletingA3891] command /c del "C:\WINDOWS\system32\waepsolg.dll_old" O4 - HKLM\..\RunOnce: [SpybotDeletingC512] cmd /c del "C:\WINDOWS\system32\waepsolg.dll_old" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUt il.exe -p O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O20 - AppInit_DLLs: hutebi.dll xhccip.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe -- End of file - 6088 bytes Vielen Dank schon mal!! Edi |
30.09.2008, 12:24 | #2 | |
TR/Vundo.fnr.6 Lade folgende dateien bei Virustotal hoch und poste die vollständigen berichte mit MD5 hash in ein Zitat!
__________________Zitat:
Geändert von Tayk (30.09.2008 um 13:16 Uhr) |
30.09.2008, 16:24 | #3 |
| TR/Vundo.fnr.6 Hallo Tayk!
__________________Erstmal danke, dass du dich meiner angenommen hast.. Habe versucht deine Angaben zu befolgen, kann aber auf der Virustotal Seite keine Dateien hochladen, mit dem Button "Durchsuchen" komme ich nicht weiter und kann leider auch nichts selber in das Feld eintippen.. Ich hoffe ich mache nicht einen sau dämlichen Fehler... Im übrigen, kann ich auch bei meinem Email Programm (gmx) keine Anhänge mehr hochladen (das könnte ja viell. zusammenhängen ???) Danke schon Mal für deine Hilfe Grüße Edi |
30.09.2008, 16:28 | #4 | |
TR/Vundo.fnr.6 Naja versuchen wirs anderst! Kopiere den ersten pfad! also Zitat:
|
30.09.2008, 16:34 | #5 |
| TR/Vundo.fnr.6 Funtioniert leider auch nicht.. So eine sch.. Bin am verzweifeln! |
30.09.2008, 16:42 | #6 |
TR/Vundo.fnr.6 Naja dann überspringen wir das hochladen und scannen gleich mit Malwarebytes ! |
30.09.2008, 17:26 | #7 |
| TR/Vundo.fnr.6 Vielleicht is einfach alles zu spät!! Scannen mit Malwarebytes funktioniert nur bedingt.. Nach zehn Minuten Laufzeit habe ich geschätzte 1000 Mal die Meldung: "Ein Fehler ist aufgetreten, bitte geben Sie den folgenden Fehlercode an das Malwarebytes`Antimalware Support-Team weiter. Error Code: 731 (0, 9) weggeclickt. Jetzt habe ich`s erstmal aufgegeben... Zudem bekomme ich jetzt (auf einmal) dauernd die neue AntiVir Meldung: Das Trojanische Pferd TR/Vundo.RL wurde erkannt. Pfad: C:\WINDOWS\system32\hutebi.dll Natürlich befürchte ich jetzt das allerschlimmste! Kann ich noch irgendwas versuchen?? Edi |
30.09.2008, 17:38 | #8 |
Administrator > Competence Manager | TR/Vundo.fnr.6 Hallo edibonedi und nochmal ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
30.09.2008, 17:39 | #9 |
TR/Vundo.fnr.6 Beende mal Antivir und zieh den stecker fürs inet! Scanne dann mit Malwarebytes! Wahrscheinlich hast du auf Zugriff verweigern geklickt und Mbam konnte nicht weiter scannen! Wenn er dann fertig ist Antivir wieder an und wieder ins inet und hier das log posten! Edit: Sunny ich hab auch schon an combofix gedacht! Nur darf ich das ja wahrscheinlich nich nutzen Schreib mir ma ne pn dann reden wir darüber Geändert von Tayk (30.09.2008 um 17:49 Uhr) |
30.09.2008, 17:59 | #10 |
| TR/Vundo.fnr.6 Also Sunny und Tayk Erst mal Vielen Dank für eure Hilfe!!!!!!! Ich werde Morgen versuchen alles abzuarbeiten, was ihr gepostet habt.. Heute muss ich leider weg. Ich hoffe wirklich, dass ich weiter komme Danke Nochmal! Grüße Edi |
01.10.2008, 07:47 | #11 | |
| TR/Vundo.fnr.6 Guten Morgen Sunny! Habe gerade deine Schritte durchgearbeitet.. Combofix hat so wie es scheint schon mal ziemlich aufgeräumt mit dem Saustall. Bekomme bis jetzt keine Meldung mehr von Antivir. Hier das log: Zitat:
Im ersten Stand: "Fehler beim Laden von C:\WINDOWS\system32\chsedhnt.dll |
01.10.2008, 07:51 | #12 |
| TR/Vundo.fnr.6 Fortsetzung des letzten Eintrags: Das anegegebene Modul kann nicht gefunden werden. Im Zweiten Fenster stand: "System Settings Protector" system settings protector hat ein Problem festgestellt und muss beendet werden. Falls sie ihre Arbeit noch nicht gespeichert hatten, können Daten mögloicherweiße verloren gegangen sein.. Weiß leider nicht was das alles zu bedeuten hat. Mir scheint aber, dass der Rechner schon wieder deutlich besser läuft.. Sunny, wie schauen die nächsten Schritte aus?? Ich danke dir echt sakrisch! Grüße Edi |
01.10.2008, 08:22 | #13 |
Administrator > Competence Manager | TR/Vundo.fnr.6 Die Fehlermeldungen erstmal ignorieren, da kümmern wir uns anschliessend drum. jetzt folgendes: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\wininit.ini C:\WINDOWS\system32\CNMLM8Z.DLL
Scripten mit Combofix
Code:
ATTFilter REGISTRY:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=- FILE:: C:\WINDOWS\system32\hhpdrxwn.ini C:\WINDOWS\system32\agnwaglh.ini C:\WINDOWS\system32\vtonurlj.ini C:\WINDOWS\system32\snebnesv.ini
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann Malwarebytes' Anti-Malware
(nach dem scannen auf den Button klicken und Funde löschen lassen!) Wie sieht es dann mit dem System aus, kommen noch Fehlermeldungen? Oder läuft alles wieder so wie es sollte?!
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
01.10.2008, 08:40 | #14 | ||
| TR/Vundo.fnr.6 Hier die Ergebnisse von Virustotal: Hoffe ich habe es richtig abkopiert! Datei1: Zitat:
Zitat:
Fange jetzt mit Scrpiten mit Combofix an.. Danke Danke Danke Sunny!! Grüße Edi |
01.10.2008, 08:47 | #15 |
/// TB-Ausbilder | TR/Vundo.fnr.6 Hi. warte bitte mit dem CF-Skript grad nochmal auf Rückmeldung von Sunny. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
Themen zu TR/Vundo.fnr.6 |
1.tmp, antivir, antivir guard, avira, canon, excel, explorer, firefox, google, hijack, hijackthis, immer wieder, internet, internet explorer, jusched.exe, microsoft, mozilla, programm, programme, rundll, software, stick, stimme, system, temp, trojaner, virus, windows, windows xp, öffnet |