Hallo nochdigger,

habe die Anleitung in deinem Posting an "alterschwede" abgearbeitet ... *smile*

Die versteckten Dateien sind sichtbar.

hier der Bericht von Vundofix

und das Ergebnis der pacaprri.ini - Überprüfung


Der Rest folgt gleich.

MFG Andrea

hier die beiden anderen

und

Hallo

Führe bitte im normalen Modus ein Update deines AntiVir durch.

Die Dateien sind laut google völlig unbekannt, darum würde ich sagen wechsel in den abgesicherten Modus (beim start F8 drücken) und benenne die Dateien erstmal um (hänge enfach ein ".vir" hinten dran) dann lass Antivir einen Fullscan durchführen.
Wechsel zurüch in den normalen Modus schau ob alles weiterhin einwandfrei funktioniert und berichte nochmal.

MFG

Sorry, welche Dateien meinst du genau? :confused:

Ich nahm mal an du hast die ***.ini Dateien gemeint ...

Hab alles erledigt und es sind bisher keine Auffälligkeiten im normalen Modus aufgetreten.

Antivir findet auch keinen der Trojaner mehr. Wie kann ich feststellen, ob sie nun weg sind und sich nicht nur "verstecken"?

MFG Andrea

Edit: Die umgenannten Dateien hab ich nicht wieder geändert

Moment mal, die ini-Dateien sind doch Textdateien. Wenn du sie mit dem Editor öfnest, steht dann da nur wilder Zeichenbrei oder richtiger Text bzw. irgendwelche Programmcodes?
Vllt. könntest du die ini-Dateien mal mit winrar packen und mir per Mail senden.
Wenn du schonmal dabei bist: Lad dir dieses script (Rechtsklick, speichern auf Desktop) und führ es aus. Es erzeugt eine "listing.txt" auf dem Desktop, pack diese ebenfalls und sende mir es auch per e-Mail. (listing.txt ist zu groß für einen Beitrag im Board.)

Hallo cosinus

Ich bin im moment unterwegs, werde dir am WE die Nachricht zukommen lassen.

liebe Grüße Andrea

So, hab nun auch endlich etwas Zeit wieder gefunden und kann mir nunmal dein ausführliches filelist mal anschaun.

In den ini-Dateien steht (für mich jedenfalls) irgendwelcher nicht entzifferbare Code drin. Virenscanner springen bei diesen Dateien auch nicht an.

Anhand des listing.txt konnte ich ein paar Dateien erkennen, die ich löschen würde, geh dazu so vor:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

---

files to delete:
C:\WINDOWS\system32\akfnfoqe.ini
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\mwbefrlk.ini
C:\WINDOWS\system32\pacaprri.ini

---

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste ausserdem den Inhalt der C:\avenger.txt Datei.
6.) das System mit eScan (MWAV) prüfen lassen (siehe Link in meiner Signatur)

Dann ist mir noch dieser Ordner aufgefallen:

C:\WINDOWS\system32\LogFiles

Weißt du zufällig wo der her kommt und den angelegt haben könnte? Schau dort mal rein, ob sich dort nur einfache Logfiles drin befinden oder doch verdächtige Dateien.

Hallo cosinus,

*busy week* deswegen kam ich leider auch erst heute dazu...

hier die Ergebnisse der Scans bzw. von Avenger

und

Liebe Grüße, Andrea

Da sich leider nicht nochmal jmd gemeldet hat, hab ich die Dateien mal bei virustotal prüfen lassen.

Hier die Ergebnisse...

und

Wie stark ist die Gefahr für mich und was kann bzw muss ich tun, um dem Trojaner auf die Spur zu kommen und ihn zu erledigen?

Liebe Grüße, Andrea

Sry, dein Posting ist bei mir irgendwie untergegegangen.... :schmoll:

Die mwav/escan Funde unter Infektionsmeldungen lassen sich idR vernachlässigen, da das Programm sehr häufig zu Fehlalarmen neigt. Dann sind noch diese Einträge da:

Die Einträge aus dem Ordner C:\System Volume Information bekommst du nur vernünftig und einfach über das Deaktivieren der Systemwiederherstellung weg.
Den Ordner C:\VundoFix Backups solltest du problemlos löschen können, darin verschiebt der vundofix die Schädlingsdateien, die er erkannt hat.

Die Dateien die du ausgewertet hast sind ungefährlich; sie stammen vom smitfraudfix und werden leider immer vom mwav/escan angemeckert.

ich würde sie nach den letzten Logfiles, die ich zu Gesicht bekommen habe, als rel. gering einstufen. Ist das Problem denn bei dir mittlerweile behoben oder hakt es jetzt gar an anderen Stellen? Werbeeinblendungen noch da?

Hallo Arne...

Danke für die Rückmeldung!

Der Rechner verhält sich nicht mehr auffällig und ich hoffe, das bleibt auch dabei :daumenhoc

Die Deaktivierung der Systemwiederherstellung werde ich noch machen.

Danke nochmal für die Geduld und Unterstützung!

Liebe Grüße und schönes We, Andrea

hallo Cosinus,

da du ja ziemlich Durchblick zu haben scheinst...könntest du mir vielleicht auch kurz mit deinem Rat zur Seite stehn?? Habe ähnliche >Problematik und bin echt am Vverzweifenl :((
Habe wie es verlangt wird dazu einen eigenen threat aufgemacht:
"TR\ Vundo.gen will einfach nicht gehn!"

würd mich über ein bissl Hilfe eicht freuen....