|
Plagegeister aller Art und deren Bekämpfung: Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.12.2009, 18:02 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Wieso siehst Du sie da nicht? Du kannst sie auch vorher auf c: oder woanders hinkopieren, dann im abgesicherten Modus wieder auf dem Desktop. Prinzipiell ist es aber egal, von wo Du sie ausführst.
__________________ Logfiles bitte immer in CODE-Tags posten |
27.12.2009, 19:50 | #17 |
| Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Hallo, ich habe das gleich Problem, vielleicht könnte mir jemand helfen. Wäre Super ;-)
__________________Gruß, Heiko. |
28.12.2009, 08:47 | #19 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Bitte nochmal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to delete: c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\xaigrc0m.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\xaigrc0m.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll c:\dokume~1\Olli\LOKALE~1\Temp\adxapie.sys C:\WINDOWS\system32\H8SRTsunblqpjej.dll C:\WINDOWS\system32\H8SRTsmsdudkvjc.dll drivers to delete: adxapie SetupNTGLM7X 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________ Logfiles bitte immer in CODE-Tags posten |
28.12.2009, 13:59 | #20 |
| Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\xaigrc0m.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll" deleted successfully. File "c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\xaigrc0m.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll" deleted successfully. Error: file "c:\dokume~1\Olli\LOKALE~1\Temp\adxapie.sys" not found! Deletion of file "c:\dokume~1\Olli\LOKALE~1\Temp\adxapie.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\H8SRTsunblqpjej.dll" not found! Deletion of file "C:\WINDOWS\system32\H8SRTsunblqpjej.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\H8SRTsmsdudkvjc.dll" not found! Deletion of file "C:\WINDOWS\system32\H8SRTsmsdudkvjc.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Driver "adxapie" deleted successfully. Driver "SetupNTGLM7X" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
28.12.2009, 14:01 | #21 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Wie ist es nun um den Rechner bestellt, wie verhält er sich? Lässt GMER sich jetzt ausführen?
__________________ --> Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" |
28.12.2009, 14:17 | #22 |
| Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Leider nein. Technische Details der Fehlermeldung : <?xml version="1.0" encoding="UTF-16"?> <DATABASE> <EXE NAME="0d7ens5g.exe" FILTER="GRABMI_FILTER_PRIVACY"> <MATCHING_FILE NAME="0d7ens5g.exe" SIZE="293376" CHECKSUM="0xE361B6A8" BIN_FILE_VERSION="1.0.15.15281" BIN_PRODUCT_VERSION="1.0.15.15281" FILE_VERSION="1, 0, 15, 15281" VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x40004" VERFILETYPE="0x2" MODULE_TYPE="WIN32" PE_CHECKSUM="0x0" LINKER_VERSION="0x0" UPTO_BIN_FILE_VERSION="1.0.15.15281" UPTO_BIN_PRODUCT_VERSION="1.0.15.15281" LINK_DATE="12/15/2009 10:24:48" UPTO_LINK_DATE="12/15/2009 10:24:48" VER_LANGUAGE="Polnisch [0x415]" /> <MATCHING_FILE NAME="cofi.exe" SIZE="3863294" CHECKSUM="0x9E983C90" MODULE_TYPE="WIN32" PE_CHECKSUM="0x3B98BE" LINKER_VERSION="0x0" LINK_DATE="07/20/2009 08:15:43" UPTO_LINK_DATE="07/20/2009 08:15:43" /> <MATCHING_FILE NAME="ImageAnalyzer.exe" SIZE="1295410" CHECKSUM="0x90B0365B" MODULE_TYPE="WIN32" PE_CHECKSUM="0x0" LINKER_VERSION="0x0" LINK_DATE="05/15/2003 08:43:10" UPTO_LINK_DATE="05/15/2003 08:43:10" /> <MATCHING_FILE NAME="mbam-setup.exe" SIZE="4844296" CHECKSUM="0xD520F760" BIN_FILE_VERSION="1.42.0.0" BIN_PRODUCT_VERSION="1.42.0.0" PRODUCT_VERSION="1.42 " FILE_DESCRIPTION="Malwarebytes' Anti-Malware " COMPANY_NAME="Malwarebytes Corporation " PRODUCT_NAME="Malwarebytes' Anti-Malware " FILE_VERSION="1.42 " LEGAL_COPYRIGHT="© Malwarebytes Corporation. All rights reserved. " VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x4" VERFILETYPE="0x1" MODULE_TYPE="WIN32" PE_CHECKSUM="0x4AB96E" LINKER_VERSION="0x60000" UPTO_BIN_FILE_VERSION="1.42.0.0" UPTO_BIN_PRODUCT_VERSION="1.42.0.0" LINK_DATE="06/19/1992 22:22:17" UPTO_LINK_DATE="06/19/1992 22:22:17" VER_LANGUAGE="Sprachneutral [0x0]" /> <MATCHING_FILE NAME="wlsetup-custom.exe" SIZE="1167688" CHECKSUM="0x6BB7D1C" BIN_FILE_VERSION="14.0.8089.726" BIN_PRODUCT_VERSION="14.0.8089.726" PRODUCT_VERSION="14.0.8089.0726" FILE_DESCRIPTION="Windows Live Installer" COMPANY_NAME="Microsoft Corporation" PRODUCT_NAME="Windows Live" FILE_VERSION="14.0.8089.0726" ORIGINAL_FILENAME="wlsetup.exe" INTERNAL_NAME="wlsetup" LEGAL_COPYRIGHT="© Microsoft Corporation. All rights reserved." VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x4" VERFILETYPE="0x1" MODULE_TYPE="WIN32" PE_CHECKSUM="0x128285" LINKER_VERSION="0x60000" UPTO_BIN_FILE_VERSION="14.0.8089.726" UPTO_BIN_PRODUCT_VERSION="14.0.8089.726" LINK_DATE="07/26/2009 19:01:06" UPTO_LINK_DATE="07/26/2009 19:01:06" VER_LANGUAGE="Englisch (USA) [0x409]" /> <MATCHING_FILE NAME="avenger\avenger.exe" SIZE="731136" CHECKSUM="0x4A0AD9DF" MODULE_TYPE="WIN32" PE_CHECKSUM="0x0" LINKER_VERSION="0x10000" LINK_DATE="05/31/2008 03:09:46" UPTO_LINK_DATE="05/31/2008 03:09:46" /> </EXE> <EXE NAME="kernel32.dll" FILTER="GRABMI_FILTER_THISFILEONLY"> <MATCHING_FILE NAME="kernel32.dll" SIZE="1057280" CHECKSUM="0xD52AA7B7" BIN_FILE_VERSION="5.1.2600.2180" BIN_PRODUCT_VERSION="5.1.2600.2180" PRODUCT_VERSION="5.1.2600.2180" FILE_DESCRIPTION="Client-DLL für Windows NT-Basis-API" COMPANY_NAME="Microsoft Corporation" PRODUCT_NAME="Betriebssystem Microsoft® Windows®" FILE_VERSION="5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)" ORIGINAL_FILENAME="kernel32" INTERNAL_NAME="kernel32" LEGAL_COPYRIGHT="© Microsoft Corporation. Alle Rechte vorbehalten." VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x40004" VERFILETYPE="0x2" MODULE_TYPE="WIN32" PE_CHECKSUM="0x108430" LINKER_VERSION="0x50001" UPTO_BIN_FILE_VERSION="5.1.2600.2180" UPTO_BIN_PRODUCT_VERSION="5.1.2600.2180" LINK_DATE="08/04/2004 07:57:08" UPTO_LINK_DATE="08/04/2004 07:57:08" VER_LANGUAGE="Deutsch (Deutschland) [0x407]" /> </EXE> </DATABASE> |
28.12.2009, 14:27 | #23 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Kann ich leider nicht viel mit anfangen Probier bitte dieses Tool => Avira AntiRootkit Tool
__________________ Logfiles bitte immer in CODE-Tags posten |
28.12.2009, 14:55 | #24 |
| Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Avira AntiRootkit Tool (1.1.0.1) ======================================================================================================== - Scan started Montag, 28. Dezember 2009 - 14:29:38 ======================================================================================================== -------------------------------------------------------------------------------------------------------- Configuration: -------------------------------------------------------------------------------------------------------- - [X] Scan files - [X] Scan registry - [X] Scan processes - [ ] Fast scan - Working disk total size : 19.53 GB - Working disk free size : 4.81 GB (24 %) -------------------------------------------------------------------------------------------------------- Results: Embedded nulls : HKEY_USERS\S-1-5-21-507921405-1425521274-839522115-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY Embedded nulls : HKEY_USERS\S-1-5-21-507921405-1425521274-839522115-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY\桟摩敤 Embedded nulls : HKEY_USERS\S-1-5-21-507921405-1425521274-839522115-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY\桟摩敤祥 -------------------------------------------------------------------------------------------------------- Files: 0/107740 Registry items: 3/425198 Processes: 0/31 Scan time: 00:07:20 -------------------------------------------------------------------------------------------------------- Active processes: - oisucprm.exe (PID 3156) (Avira AntiRootkit Tool) - System (PID 4) - smss.exe (PID 980) - csrss.exe (PID 1028) - winlogon.exe (PID 1052) - services.exe (PID 1096) - lsass.exe (PID 1108) - svchost.exe (PID 1288) - svchost.exe (PID 1336) - svchost.exe (PID 1456) - svchost.exe (PID 1536) - svchost.exe (PID 1696) - spoolsv.exe (PID 1984) - sched.exe (PID 2032) - avguard.exe (PID 328) - AppleMobileDeviceService.exe (PID 340) - mDNSResponder.exe (PID 368) - MDM.EXE (PID 496) - nvsvc32.exe (PID 624) - svchost.exe (PID 676) - wdfmgr.exe (PID 704) - MsPMSPSv.exe (PID 740) - WLService.exe (PID 772) - WUSB54Gv42.exe (PID 872) - alg.exe (PID 1912) - explorer.exe (PID 2056) - wscntfy.exe (PID 2104) - rundll32.exe (PID 2556) - avgnt.exe (PID 2608) - svchost.exe (PID 3012) - avirarkd.exe (PID 2444) ======================================================================================================== - Scan finished Montag, 28. Dezember 2009 - 14:36:58 ======================================================================================================== |
28.12.2009, 15:44 | #25 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Das sieht okay aus. Wie verhält sich Dein Rechner denn jetzt?
__________________ Logfiles bitte immer in CODE-Tags posten |
28.12.2009, 15:47 | #26 |
| Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Ganz normal,wie immer. Gibt keine Probleme und alle andren Programme lassen sich problemlos öffnen etc. So ist es ja bereits seit dem 1. Avenger Durchlauf. |
28.12.2009, 15:54 | #27 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Ok, dann würde ich Dich vorerst entlassen. Melde Dich wieder bei weiteren Problemen. Beachte, dass eine Bereinigung leider keine 100%ige Sicherheit bieten kann
__________________ Logfiles bitte immer in CODE-Tags posten |
28.12.2009, 17:02 | #28 |
| Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Hey alles klar. Vielen,vielen Dank für deine tolle Hilfe!! War echt super! Toll,dass es so eine Seite für Leute wie mich gibt,die nicht soviel Ahnung haben! Nochmals vielen Dank und hoffentlich "nicht bis bald" |
Themen zu Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" |
antivir, bitdefender, cc cleaner, datei, defender, defense, explorer.exe, gen, hijack, hijack this, infiziert, infizierte, infizierte datei, internet, neu, plötzlich, probleme, rojaner gefunden, scan, schnell, spybot, svchost.exe, system, system32, this, trojan.heur.vundo.by4@dcgcsge, trojaner, trojaner gefunden, zugriff, zugriff verweigert |