Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Gelockter Trojaner, der sich net entfernen lässt (https://www.trojaner-board.de/43069-gelockter-trojaner-net-entfernen-laesst.html)

Fjute 05.09.2007 15:21

Gelockter Trojaner, der sich net entfernen lässt
 
Hallo.

Habe wie gesagt einen gelockten Trojaner, und zwar den TR/Vundo.Gen, der sitzt in WINDOWS\system32\xxywxwt.dll.

Hab mein LogFile schon auf der Hijack-Seite gepostet, aber das Programm war da noch unbekannt.

Hier noch einmal das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:46:17, on 05.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX55.937\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.trendmicro.com/go/hjt/win9x//?hjtver=2.0.2&winver=Windows%20NT%205.01.2600&iever=6.0.2900.2180
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5621007F-BBEE-4674-8077-94C3591DE7C3} - C:\WINDOWS\system32\xxywxwt.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: xxywxwt - C:\WINDOWS\SYSTEM32\xxywxwt.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe

--
End of file - 3030 bytes


Danke vielmals im Voraus für hilfreiche Tips, ich hab schon einiges probiert, aber auch im abgesicherten Modus lässt sich der Trojaner net löschen.

cosinus 05.09.2007 15:31

Hallo.

Gegen Vundo könnte das hier helfen:
* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
Du hast das erste HJT-Logfile im abgesicherten Modus erstellt - erstell bitte nach dem Vundofix ein weiteres wenn Windows normal gebootet ist und poste es.

Mach danach auch mal einen Check mit eScan (link in meiner Signatur) und poste das Logfile.

Fjute 05.09.2007 15:38

Nein, hilft net, ich habs auch gerade ausprobiert, aber der Trojaner is nach wie vor da. Hier das vundo.fix:

VundoFix V6.5.8

Checking Java version...

Sun Java not detected
Scan started at 16:22:11 05.09.2007

Listing files found while scanning....

C:\windows\system32\drvbujr.dll
C:\windows\system32\drvfomr.dll
C:\windows\system32\xxywxwt.dll

Beginning removal...

Attempting to delete C:\windows\system32\drvbujr.dll
C:\windows\system32\drvbujr.dll Has been deleted!

Attempting to delete C:\windows\system32\drvfomr.dll
C:\windows\system32\drvfomr.dll Has been deleted!

Attempting to delete C:\windows\system32\xxywxwt.dll
C:\windows\system32\xxywxwt.dll Could not be deleted.

Performing Repairs to the registry.
Done!

cosinus 05.09.2007 16:26

Was ist denn mitm eScan?

Mach auch mal folgendes:
Kopiere dir dieses Script auf dem Desktop und führe es aus - poste den Inhalt des danach aufpoppenden Editors hier als CODE herein.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19