[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

Hallo,

bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\ccbywtmi.dll
C:\WINDOWS\system32\ndovyucj.dll
C:\Sysdriver\vbe.vbe
C:\WINDOWS\system32\kidtio.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Wenn alle erkannt, hier weiter:
Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Registry values to replace with dummy: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|rhhiadqjmykdhroen
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|5879d71f
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM5b4ae483
 
Files to delete:
C:\WINDOWS\system32\ccbywtmi.dll
C:\WINDOWS\system32\ndovyucj.dll
C:\Sysdriver\vbe.vbe
C:\WINDOWS\system32\kidtio.dll
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [system32] WScript "C:\Sysdriver\vbe.vbe" ************************************************** ****
O4 - HKLM\..\Run: [rhhiadqjmykdhroen] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\ndovyucj.dll"
O4 - HKLM\..\Run: [5879d71f] rundll32.exe "C:\WINDOWS\system32\ndovyucj.dll",b
O4 - HKLM\..\Run: [BM5b4ae483] Rundll32.exe "C:\WINDOWS\system32\ccbywtmi.dll",s
         

Danach bitte noch MAM und ein Rsit-Log:

MAM (Malwarebytes Antimalware)
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html


RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Chris

Hallo grochi83,

Ich heiße Peter und ich arbeite für den externen Symantec Foren-Support in Europa. Im Namen von Symantec möchten wir uns für Deine Probleme entschuldigen. Wir haben Dein Problem an den Support von Symantec weitergeleitet und haben folgende Lösung bekommen:

Um den trojan.vundo zu entfernen, folge bitte den Instruktionen unter diesem Link: http://www.symantec.com/business/security_response/writeup.jsp?docid=2004-112111-3912-99&tabid=3

Dieser Link hilft bei der trojan.firpage: http://www.symantec.com/business/security_response/writeup.jsp?docid=2007-072316-4503-99&tabid=3

Dieser Link hilft bei trojan.awax: http://www.symantec.com/business/security_response/writeup.jsp?docid=2006-011312-2127-99&tabid=3


Bitte probiere mal aus, ob Dir dies bei Deinem Problem hilft. Ein kurzes Feedback wäre super.

Gruß,
Peter
Norton Forum Assist Team