Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Problem mit vundo.gen und vundofix (https://www.trojaner-board.de/46208-problem-vundo-gen-vundofix.html)

FrauKausB 23.11.2007 17:16
Problem mit vundo.gen und vundofix
 
Hallo,

ich bin ein absoluter Neuling hier und hoffe Hilfe zu finden. Mein PC ist mit dem vundo.gen infiziert. Diese "Info" hab ich von avira antivir...hab hier ja auch schon viel darüber gelesen und mir mittlerweile vundofix in der aktuellsten version 6.6.2 runtergeladen.
Tja...Vundofix findet auch etwas...nur stopt der scan nie!!! und somit kann ich auch nicht den Remove button drücken:schmoll: Was kann ich nun machen???

Vielen Dank wenn sich jemand meinem Problem annimmt.

Gruss
susi

cosinus 23.11.2007 17:25
Hallo.

Poste zur ersten Grobanalyse des Systems ein Hijackthis-Logfile. Dann sehen wir weiter.

FrauKausB 23.11.2007 17:29
Hallo Arne und danke für die schnelle Antwort

hier mein hijackthis Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:27:50, on 23.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\Susi\Desktop\VundoFix.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10161868-3F38-4A27-9A88-5810DDEB083D} - C:\WINDOWS\system32\vturp.dll
O2 - BHO: (no name) - {58E9AC24-5A2A-4908-9E3B-0633C0F8DF30} - C:\WINDOWS\system32\opnolmk.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {A0F1AB64-DB81-459E-91EB-B9ECDCE16EBB} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [WinAble] C:\Programme\WinAble\winable.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: opnolmk - C:\WINDOWS\SYSTEM32\opnolmk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe

--
End of file - 3718 bytes

FrauKausB 23.11.2007 17:30
ach ja...vundofix erkennt die datai opnolmk.dll als vundo.gen

cosinus 23.11.2007 17:41
Autsch...bei dir scheint noch viel schlimmeres im System zu "schlummern"...

Code:
C:\Programme\WinAble\winable.exe
Werte diese Datei mal bei Virustotal aus und poste sätmliche Ergebnisse inkl. Angaben zu Dateigröße und Prüfsummen.

FrauKausB 23.11.2007 17:51
na supi nun machst du mir langsam Angst:(
wenn ich den Pfad dort eingebe kommt immer nur die fehlermeldung dass er 0 bytes gesendet hat / bzw. empfangen
wenn ich bei programme winable reinschaue ist dort auch keine exe Datei zu finden...bin echt ratlos

cosinus 23.11.2007 18:04
Ok, dann machen wir das mit härteren Mitteln:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
files to delete:
C:\WINDOWS\SYSTEM32\opnolmk.dll

folders to delete:
C:\Programme\WinAble
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.
6.) Werte die Datei C:\avenger\backup.zip danach beim kaspersky file scanner aus und poste die Ergebnisse.

FrauKausB 23.11.2007 18:38
hmm...scheint nicht zu klappen:(
nachdem er neu startet erscheint ein schwarzes fenster mit diversen texten...geht aber ziemlich schnell wieder zu...
dann kommt die fehlermeldung, dass er avenger.txt nicht finden kann...man man man:(

cosinus 23.11.2007 19:06
Lad dir mal dieses script per Rechtsklick, ziel speichern unter auf Desktop herunter.
Starte Windows neu, wechsel kurz vor dem Windowsstart per Druck auf die F8-Taste in den abgesicherten Modus von Windows und klick das heruntergeladene Script doppelt an.

Das sollte nur einen kurzen Moment dauern, schau danach mal in c:\backup rein, wenn alles wie geplant lief, hast die Datei opnolmk.dll und den Ordner WinAble_bad dadrin (winable wurde sicherheitshalber umbenannt). Im dem winable_bad Order müssten dann weitere Dateien drin sein, zumindest diese hier => winable.exe

Starte Windows neu im normalen Modus und werte diese Dateien bei Virustotal aus:

c:\backup\opnolmk.dll
c:\backup\winable_bad\winable.exe

Poste die Ergebnisse.

FrauKausB 23.11.2007 19:26
also so langsam bin ich echt am verzweifeln:(:(:(
pc startet nicht im abgesicherten modus....geht ja anscheinend bald gar nix mehr:(

cosinus 23.11.2007 19:51
Ist zwar nicht optimal, aber probier das script im normalen Modus aus.
Wieso startet der Rechner nicht im abgesicherten Modus? Welche meldung erscheint?

FrauKausB 23.11.2007 20:06
so hab es gemacht...es wurde ein ordner backup erstellt der aber leer ist

cosinus 23.11.2007 20:11
Dann kommen wir so nicht mehr weiter. Hast du zufällig ein BartPE zur Hand? Damit könntest du die Dateien auf der Platte manuell in den Backup-Ordner verschieben.

Was ist denn nun mit dem abgesicherten Modus? Warum startet der den nicht? Welchen Fehler gibt es da?

FrauKausB 23.11.2007 20:20
bartpe??? was ist denn das?? sorry so gut kenn ich mich leider nicht aus...
ach ja und beim laden im abgesicherten modus stoppt er einfach irgendwann...ohne irgendeine fehlermeldung...bildschirm ist einfach nur schwarz:(

cosinus 23.11.2007 20:32
Das ist nat. schlecht. Vllt. hast du einen Bekannten der dir eine BartPE-CD geben kann. Ist ein von CD startbares Windows-XP, besser als der abgesicherte Modus, da bei der BartPE garantiert keine Malware mitgeladen wird (sofern diese sauber erstellte wurde), das Risiko hat man da eher beim abgesicherten Modus.

Mit deinem System muss aber schon grundsätzlich was nicht stimmen. Der abgesicherte Modus funktioniert nicht mehr, der Avenger funktioniert nicht. Eine Idee hätte ich aber noch:

Besorg dir das Tool Killbox. Starte es und wähle die Option "delete on reboot". Danach fügst du die Datei C:\WINDOWS\SYSTEM32\opnolmk.dll in die Adressleiste ein und klickst auf das rote runde Schild mit dem dem weißen X. Die folgende Abfrage, ob das System neu gestartet werden soll, verneinst du!
Anschließend machst du das gleiche mit der Datei C:\Programme\WinAble\winable.exe und klickst wieder auf das Schild. Erst jetzt kannst du dein System neu starten.

Schau nach dem Systemneustart mal in den Ordner c:\!killbox rein. Da müssten als Backup die zwei gelöschten Dateien liegen - werte diese bei Virustotal aus und poste die Ergebnisse.

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei fileupload hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Mach auch mal ein Logfile mit Silentrunners und poste das Logfile.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:25 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22