|
Gelockter Trojaner, der sich net entfernen lässt Hallo. Habe wie gesagt einen gelockten Trojaner, und zwar den TR/Vundo.Gen, der sitzt in WINDOWS\system32\xxywxwt.dll. Hab mein LogFile schon auf der Hijack-Seite gepostet, aber das Programm war da noch unbekannt. Hier noch einmal das Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:46:17, on 05.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX55.937\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.trendmicro.com/go/hjt/win9x//?hjtver=2.0.2&winver=Windows%20NT%205.01.2600&iever=6.0.2900.2180 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5621007F-BBEE-4674-8077-94C3591DE7C3} - C:\WINDOWS\system32\xxywxwt.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll O20 - Winlogon Notify: xxywxwt - C:\WINDOWS\SYSTEM32\xxywxwt.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe -- End of file - 3030 bytes Danke vielmals im Voraus für hilfreiche Tips, ich hab schon einiges probiert, aber auch im abgesicherten Modus lässt sich der Trojaner net löschen. |
Hallo. Gegen Vundo könnte das hier helfen: * Lade dir vundofix.exeDu hast das erste HJT-Logfile im abgesicherten Modus erstellt - erstell bitte nach dem Vundofix ein weiteres wenn Windows normal gebootet ist und poste es. Mach danach auch mal einen Check mit eScan (link in meiner Signatur) und poste das Logfile. |
Nein, hilft net, ich habs auch gerade ausprobiert, aber der Trojaner is nach wie vor da. Hier das vundo.fix: VundoFix V6.5.8 Checking Java version... Sun Java not detected Scan started at 16:22:11 05.09.2007 Listing files found while scanning.... C:\windows\system32\drvbujr.dll C:\windows\system32\drvfomr.dll C:\windows\system32\xxywxwt.dll Beginning removal... Attempting to delete C:\windows\system32\drvbujr.dll C:\windows\system32\drvbujr.dll Has been deleted! Attempting to delete C:\windows\system32\drvfomr.dll C:\windows\system32\drvfomr.dll Has been deleted! Attempting to delete C:\windows\system32\xxywxwt.dll C:\windows\system32\xxywxwt.dll Could not be deleted. Performing Repairs to the registry. Done! |
Was ist denn mitm eScan? Mach auch mal folgendes: Kopiere dir dieses Script auf dem Desktop und führe es aus - poste den Inhalt des danach aufpoppenden Editors hier als CODE herein. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board