Hallo Forum,

habe mir letzte Woche die Trojaner CryptXPACK.Gen und Vundo.FUL.9a eingefangen.

Nach einer Systemprüfung mit AntiVir mit Löschen wurden lt. Protokoll des AntiVir 2 Dateien gelöscht:

C:\System Volume \ Information \ _restore {63542A00....\ A0040740.dll
Vundo.FUL.9a gelöscht

C:\Dokumente und Einstellungen\Uwe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ HE.. \[0[1].gif
CryptXPACK.Gen gelöscht

(habe mir die Pfade nicht vollständig aufgeschrieben, wenn gebraucht hole ich es nach)

Die AntiVir Guard meldet den VUndo.FUL.9a weiter.

Habe nun lt. Anleitung in diesem Forum Folgendes durchgeführt:

1. den CCleaner laufen lassen

2. mit Avenger gelöscht (im abgesicherten Modus):

C:\Windows\system32\.066e7b2a4429443c\066e7b2a4429443c.exe

(exe für core.dll)

Avenger meldet ... deleted succesfully.

3. Die Einträge in der Registry gelöscht. Ein Ordner mit dem Name 066e7...
war unter ... ControlSet001 und ... ControlSet003.


Der nächste Scan mit AntiVir findet den Vundo.FUL.9a immer noch. Diesmal
hat die Datei die Endung "VIR", also

C:\Windows\system32\.0066e7b2a4429443c\066e7b2a4429443c.core.VIR

Die Datei kann mit AntiVir gelöscht werden, im Protokoll des AntiVir steht
.. Datei gelöscht.


Zwei weitere Scans mit AntiVir (einer im abgesicherten Modus) melden
"Kein Fund".

Sind die Trojaner jetzt tatsächlich weg? Gibt es einen Onlinescan mit dem ich eine zuverlässliche Prüfung durchführen kann?


Mit freundlichen Grüßen
Guenter_V

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Danke für die Antwort.

Eine Scan mit einem Onlinescanner wie z.B. von PandaSecurity hilft also nicht?

Muß ich wirklich all die oben genannten Protokolle erstellen und auswerten?

Gruß
Guenter_V

Ja, einfach die Liste abackern.

Versuche die Liste abzuarbeiten, scheitere aber schon bei Punkt 1:

Das Herunterladen von HJT (egal ob Version als Installer, als zip-Datei oder als ausführbare Datei) stoppt nach 99%.

Beim Herunterladen über den LINK "diese umbenannte hijackthis.exe" wird die Datei qlketzd.com heruntergeladen. Beim Ausführen erhalte ich die Fehlermeldung: .. ist keine Win32 Anwendung.

Gruß

hi,
kannst vllt hier noch versuchen highjackthis zu laden (als prüfung.com)

http://www.trojaner-board.de/51130-anleitung-hijackthis.html

lg