Hallo,

es handelt sich hier um einen PC, WindowsXP SP2 und ich habe folgendes Problem:

Vor einigen Tagen habe ich mir TR/Vundo.FUL9 eingefangen. Wie in dem anderen Thread, das dieses Thema betrifft, beschrieben, hat Antivir sich permanent gemeldet und ich habe immer auf "Zugriff verweigern" gedrückt. Dann aber auch immer wieder für ne Weile aufgehört. Schliesslich habe ich die an sich sehr hilfreiche Lösung für das Problem gefunden, hier im Forum unter "TR/Vundo.FUL9-Lösung". Anscheinend (zumindest nehme ich das an) kam diese Hilfe für mich zu spät, denn mittlerweile konnte ich nicht mehr neustarten, da der Rechner sich dabei aufhängt. Für die Tiefensuche bei Panda-Antirootkit ist nämlich ein Neustart erforderlich. Im Folgenden bemerkte ich dann das Ausmaß des Schadens: Ich kann nicht mehr auf den Arbeitsplatz zugreifen, einige Programme lassen sich nicht starten, oder hängen sich bei dem Versuch auf, Systemwiederherstellung lässt sich nicht aktivieren, die EXE-Datei, die im Thread "TR/Vundo.FUL9-Lösung" als Primärproblem angegeben wird (C:Windows/System32/.c7d2ae1bf41d4841) lässt sich auch nicht manuell löschen, da sie angeblich von einem anderen Programm genutzt wird. Mit anderen Worten: Offensichtlich (jedenfalls deute ich das so) weiss Vundo welche Massnahmen meinerseits ihm schaden können und blockiert diese!
Also ihr Cracks, was kann ich tun?? Für Hilfe wäre ich wirklich dankbar!

Lg
derheide

Hi,

MAM, Combofix und RSIT:
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

Hi

Ich konnte den Trojaner löschen indem ich die Festplatte als 2. Platte in einen anderen PC eingebaut habe und dann einen Virenscan mit AntiVir durchgeführt habe.

Folgende Dateien wurden gefunden:

In D:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp
tmp63.tmp.57ff6c16f617d29f.tmp (TR/Drop.Small.abw)
tmp6C.tmp.57ff6c16f617d29f.tmp (TR/Drop.Small.abw)
tmp8A.tmp.57ff6c16f617d29f.tmp (TR/Drop.Small.abw)
tmp92.tmp.57ff6c16f617d29f.tmp (TR/Drop.Small.abw)
tmpAF.tmp.57ff6c16f617d29f.tmp (TR/Drop.Small.abw)
tmpC0.tmp.57ff6c16f617d29f.tmp (TR/Drop.Small.abw)
In D:\WINDOWS\system32\.57ff6c16f617d29f\
57ff6c16f617d29f.core.dll (TR/Vundo.FUL.9)
57ff6c16f617d29f.exe (TR/Vundo.FUL.10)
In D:\WINDOWS\Temp\
tmp6D.tmp.57ff6c16f617d29f.tmp (TR/Drop.Small.abw)
tmp72.tmp.57ff6c16f617d29f.tmp (TR/Drop.Small.abw)
tmpC8.tmp.57ff6c16f617d29f.tmp (TR/Rootkit.DD.44)

Nach löschen der Dateien läuft das System wieder

Hannes