|
Problem mit Trojaner(n) (Vundo) Hallo, ich habe leider ein Trojaner Problem http://www.mysmilie.de/smilies/traurig/img/022.gif und hoffe hier sehr auf Hilfe. Es öffnen sich während des Servens ungewollt Seiten. Norton Internet Security warnt mich vor Vundo.Trojaner, Purityscan.Adware und Dowloader. Norton scheint aber nichts auszurichten, denn es öffnen sich trotzdem ungewollt Seiten. Ich habe seit dem folgendes bereits unternommen: Symantec Removal Tool: Fix.Vundo VundoFix & VirtumundoBeGone von: h**p://www.bleepingcomputer.com/forums/topic18610.html Spybot & Destroy Hier poste ich nun mein Highjack (hoffe ich habe es richtig gemacht :rolleyes: ): Logfile of HijackThis v1.99.1 Scan saved at 18:07:28, on 03.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16441) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\WINDOWS\eHome\ehmsas.exe C:\apps\ABoard\ABoard.exe C:\Programme\iTunes\iTunesHelper.exe C:\apps\ABoard\AOSD.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\svchost.exe C:\Programme\QuickTime\qttask.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ipqpwngj.exe C:\Programme\Messenger\msmsgs.exe C:\APPS\SMP\SmpSys.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\PROGRA~1\WINZIP\wzqkpick.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\wz7037\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar h**p://format.packardbell.com/cgi-bin/redirect/?country=DE&range=AD&phase=6&key=SEARCH]Packard Bell : Your Digital Playground - Computers, Video, MP3 Players, Data Storage, GPS, Accessories, Online Music, Games, Software[/url] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page h**p://www.google.de/]Google[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL [h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title Packard Bell O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {54CBB12C-3481-4C5D-942D-4976C0F0A406} - C:\WINDOWS\system32\cbxxwxw.dll O2 - BHO: (no name) - {BEDF30ED-41B2-4CDC-875A-ED063C81AF7B} - C:\WINDOWS\system32\mljiiig.dll (file missing) O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:\WINDOWS\system32\hjpbknhl.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [DetectorApp] C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32" O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe O4 - HKLM\..\Run: [EULA] C:\APPS\PB_TB\EULALauncher.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S1F8.tmp" /EF "HKLM" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ipqpwngj.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ipqpwngj.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://format.packardbell.com/cgi-bin/redirect/?country=DE&range=AD&phase=8&key=IESTART O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://h**p://a1540.g.akamai.net/7/1...x/qtplugin.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab[/url] O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1179949887890 O20 - Winlogon Notify: cbxxwxw - C:\WINDOWS\SYSTEM32\cbxxwxw.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: winccf32 - C:\WINDOWS\SYSTEM32\winccf32.dll O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe |
nein, welche datei ist mit diesem vundo befallen? :P |
@Black PSP da können wir uns ja die Hand reichen mit diesem Mistproblem aber viell. eröffnest Du lieber einen eigenen Thread? Könnt ihr euch bitte mein HijackThis ansehen? Hilfe :( |
:D und wie heißt die datei jetzt konkret? also zB: C:\Windows\datei.exe das wird dir ja beim virusscan angezeigt... |
am besten ihr ladet euch den security task manager runter: (hier! und macht nen screenshot davon und ladet es bei zB http://imagevenue.com/ hoch und postet hier den link |
Zitat:
http://img260.imageshack.us/img260/5...eenshotrj1.jpg Zitat:
|
Also, ich steige nicht mehr durch!! Ist da nicht der Thread von Anna C.? @black psp wie wäre es, wenn du ein eigenen Thread eröffnest und Anna C. ihren läßt? :kloppen: Gruss |
Hi Anna C. lasse mal die Dateien bei Virustotal scannen. VIRUSTOTAL - Free Online Virus and Malware Scan Zitat:
Zitat:
Zitat:
aktualisiere mal java Zitat:
|
Zitat:
Habe heute Abend noch, weil hier im Forum empfohlen, dieses escan gemacht. Ich poste mal was mir im Auswertefenster angezeigt wurde: Zitat:
Auf jedenfall hat mir escan angezeigt das der Rechner 37 Virus habe. Ich habe mal, weil die o.g. Auswertungsdatei so leer aussiehthttp://www.mysmilie.de/smilies/verwirrt/13.gif , das Protokoll der Prüfung kopiert und poste es mal: Zitat:
Nun habe ich noch eine (für einige viell. doofe) Frage: Wenn escan das alles findet und eliminieren kann, wäre es dann nicht am einfachsten wenn man es sich kauft und das Problem wäre gegessen? http://www.mysmilie.de/smilies/verwirrt/14.gif Ich bin für jede Hilfe dankbar! Das Zeug schafft mich :headbang: |
Hi Anna C. oje, ich lese 4 Viren heraus. Allerdings rate ich dir eher zum neuaufsetzen. Eine Desinfektion wird nicht viel bringen, da dein System zu sehr befallen ist und du nicht wissen kannst, welche Hint ertürchen die Schadprogramme geöffnet haben!!! Ich frage mich, wie dein System so verseucht werden konnte? Hattest du kein AV- Programm? Firewall immer eingeschaltet? Auf jeden Fall befolge die Anleitung zum neu aufsetzen und absichern des Systems. http://www.trojaner-board.de/12154-a...sicherung.html Ausserdem würde ich ein image des neu aufgesetzten Systems machen, damit du das nächste mal nicht so viel Arbeit mit neuaufsetzen hast. Da kannst du dann auch SP2 und sämtliche Treiber mit einbinden. Ist zwar kein Allheilmittel, erleichtert dir aber einen vorherigen Zustand wiederherzustellen. Schreibe dir eine PN, wo du das Proggi True Image aus einer PC-Zeitschrift umsonst bekommst. Gruss :party: |
@Anna C. Habe dir ne PN geschickt. Hoffe ich konnte dir helfen...Und vergiss nicht zu berichten... MfG Shambhala |
Meine Posts wurden alle gelöscht. Habe ich was falsches geschrieben? Ich Habe den Trojaner jetzt mit Vundo Fix entfernt. Das waren Dateien im system 32. Ist das schlimm wenn man die einfach so löscht? Ich vermute mal dass das Programm diese gelöscht hat. Oder hat es sie einfach nur rausgemacht? |
Zitat:
ich habe nicht viel Ahnung und nachher mache ich noch alles zu Schrott?! Zitat:
@Shambhala werde Feedback geben:) |
Zitat:
Zitat:
Heftig wird es, wenn deine Bankdaten ausspioniert werden und dein Konto leergeräumt wird. Genügend Gründe das System neu aufzusetzen. Gruss :party: |
Zitat:
Zitat:
Leider habe ich niemand der sich damit auskennt und bei mir in der Nähe wohnt. Naja. Also ich finde die Beschreibung des Neuaufsetzens (für jmd. der sowas noch nie gemacht hat) schon hakelig. Der PC-Laden macht es für 45€ (Daten muß ich vorher selber sichern). Ich les mir Anleitung nochmal genau durch und wenn ich meine ich schaffe es nicht, ohne Schaden anzurichten, dann lasse ich es lieber machen. Noch eine Frage: Angenommen ich mache es selbst und mache irgendwelche Fehler, kann ich es dann immer noch in den PC-Laden bringen und dort qusi durch ein "richtiges" Neuaufsetzten wieder richten lassen? Hintergrund meinere Frage ist, das ich dann ja nichts zu verlieren hätte (außer Nerven:rolleyes: ) und könnte es ja erstmal selbst probieren. Datensicherung *erschlagt mich jetzt nicht* hab ich auch keine Ahnung von, bisher nicht gemacht. Schaue mal ob, ich das hinkriege. Ich würde gerne noch wissen, wenn ich das Betriebssystem neu aufspiele usw. sind dann alle anderen Programme (z.B. , vorinstallierte Sachen die vor dem Kauf schon drauf waren: Picasa usw. und z.B. Druckertreiber, Internet Security....) ist dann alles weg? :( Sorry, für die Fragen aber ich habe sowas (zum Glück) noch nie machen müssen... LG http://www.cheesebuerger.de/images/s...hlich/a010.gif |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board