TR/vundo.gen
 

Hallo,

auch wenn es hier schon diverse Themen zu dem Trojaner gibt, den ich mir da eingefangen hab, erstelle ich hier ein Neues.
Grund: Ich versteh bei den anderen nur Bahnhof :-)

Ich habe schon folgendes versucht:
- Mit AntiVir löschen
- VundoFix -> behauptet im Gegensatz zu Antivir, ich hätte gar keinen Vundo drauf...
- die von Antivir bezeichnete Datei umbenennen und dann "von Hand" zu löschen --> "Datei wird verwendet - geht nicht"

Hier also mein Hijackthis logfile. (Ist das erste mal, dass ich sowas mache...)

Logfile of HijackThis v1.99.1
Scan saved at 12:30:06, on 25.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Thunderbird-Tray\TBTray.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\*\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://W*W.BenQ.COM/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4020100D-29D7-4392-AFD5-5AD713FF4B88} - C:\WINDOWS\system32\yayvTkKA.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [AuditMode] C:\sysprep\factory.exe -logon
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - Global Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=ht*p://WWW.BenQ.COM/
O20 - Winlogon Notify: yayvTkKA - C:\WINDOWS\SYSTEM32\yayvTkKA.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe


Ich habe mal das fett gemacht, was mir von Antivir angezeigt wird. Außerdem noch was unter "Dokumente und Einstellungen", allerdings mit wechselndem Namen und ich kann den ganzen Pfad nicht erkennen, weil Antivir es mir "..." abkürzt.

Combofix habe ich auch schon laufen lassen.
Falls das log weiterhilft, poste ich es gern - im Moment wäre es zu lang :-)


Ich hoffe, mit diesen Informationen kann mir hier jemand weiterhelfen! Würde mich sehr freun! DAnke schon im Voraus,
Akila

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Hi,

erstmal Danke für die superschnelle Antwort!
Combofix-Log ist zu lang zum posten und auch für den txt-Anhang.
Hab ich was falsch gemacht? Kann/soll ich Teile beim posten weglassen? (Welche?)

neues HJT-Log:
Gruß
Akila

EDIT: Vergiss es... war zu voreilig... ist doch noch da... nur nicht in der Datei.... :-[

lade das Log dann mal hier hoch und poste den Link.
Und nutze bitte die aktuelle Version von HJT. :)

Hast Du Deinen Windows Ordner versteckt?

Bitte hier nachlesen wie man ein HiJackThis Log erstellt.

Nein, eigentlich habe ich keine versteckten Ordner (glaube ich :-) )

Hier nochmal das LOG, hab es gerade eben mit der HJT-Version aus dem von der verlinkten Thema gemacht und nach der Anleitung. (Bin nicht sicher, ob ich das nicht vorher genauso gemacht hab?!?)

Gruß und Danke
Akila

Das HJT vorher war an sich ok, aber von der Version 1.99.1 erstellt.

Das neue ist ok, die Datei gelöscht. Die Besonderheit mit dem Combofix log muss ich untersuchen, das dauert etwas.

Wie siehts aus? Meldungen? Das System nun mit Avira (vorher updaten und wie hier beschrieben einstellen) scannen.
Den Scanbericht hier posten, es kann durchaus sein das noch Kopien in der Systemwiederherstellung zu finden sind.

Hi,

hier der Avira Antivir-Scan mit den neuen Einstellungen!

Ein paar Sachen hat er leider gefunden :-((

Danke und Gruß
akila

Das eine ist Combofix, das andere ein Scherzprogramm nichts ernstes.
Der Rechner sollte also sauber sein.

Versuche mal ob sich Combofix wie beschrieben noch deinstallieren läßt, durch Antivir kann es sein, dass es nicht geht.

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Hast Du noch Probleme oder Auffälligkeiten?

Lässt sich nicht löschen. Es kommt ne Meldung, dass "combofix nicht gefunden werden kann"... Ist das ein Problem?

Im Moment piepst hier nichts mehr rum, Antivir ist still und nichts muckt... :-)
*Ziemlicherleichtertbin*

1000Dank! (Ich hoffe, ich muss dich und alle anderen hier nicht so bald wieder belästigen :-)

Nein, eher mein Fehler, bitte den Ordner c:\qoobox noch löschen. Dann sollte alles gut sein. :)