Trojaner-Board - TR/Vundo.fnr.6

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Vundo.fnr.6 (https://www.trojaner-board.de/60925-tr-vundo-fnr-6-a.html)

Danke @ myrtille :)

Bitte dieses Script ausführen:

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

FILE::

C:\WINDOWS\system32\hhpdrxwn.ini

C:\WINDOWS\system32\agnwaglh.ini

C:\WINDOWS\system32\vtonurlj.ini

C:\WINDOWS\system32\snebnesv.ini

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

http://saved.im/ndc5njj4d2lr/entfernen.png
(nach dem scannen auf den Button klicken und Funde löschen lassen!)

Wie sieht es dann mit dem System aus, kommen noch Fehlermeldungen?
Oder läuft alles wieder so wie es sollte?!

Hi Sunny,

Die Meldung von Myrtille hab ich leider zu spät gelesen..

Habe jetzt das erste Skript verwendet, hoffe es ist nicht allzu schlimm

hier jedenfalls das log:
[QUOTE]ComboFix 08-09-28.05 - Ich 2008-10-01 9:45:55.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.96 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ich\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Ich\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
C:\WINDOWS\system32\agnwaglh.ini
C:\WINDOWS\system32\hhpdrxwn.ini
C:\WINDOWS\system32\snebnesv.ini
C:\WINDOWS\system32\vtonurlj.ini
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\agnwaglh.ini
C:\WINDOWS\system32\hhpdrxwn.ini
C:\WINDOWS\system32\snebnesv.ini
C:\WINDOWS\system32\vtonurlj.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-01 bis 2008-10-01 ))))))))))))))))))))))))))))))
.

2008-10-01 08:27 . 2008-10-01 08:27 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-01 08:27 . 2008-10-01 08:27 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-01 07:59 . 2008-10-01 07:59 <DIR> d-------- C:\Programme\CCleaner
2008-09-30 18:03 . 2008-09-30 18:03 <DIR> d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Malwarebytes
2008-09-30 18:01 . 2008-09-30 18:06 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-30 18:01 . 2008-09-30 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-30 18:01 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-30 18:01 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-29 15:14 . 2008-09-29 15:14 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-09-28 12:55 . 2008-09-28 12:55 149 --a------ C:\WINDOWS\wininit.ini
2008-09-25 14:49 . 2008-09-25 14:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\CANON
2008-09-25 14:44 . 2008-09-25 14:44 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-09-25 14:43 . 2007-04-15 22:00 215,040 --a------ C:\WINDOWS\system32\CNMLM8Z.DLL
2008-09-25 14:42 . 2008-09-25 14:42 <DIR> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2008-09-25 14:41 . 2008-09-25 14:41 <DIR> d--h----- C:\Programme\CanonBJ
2008-09-25 14:39 . 2008-09-25 14:48 <DIR> d-------- C:\Programme\Canon
2008-09-25 14:20 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-09-25 14:20 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-09-23 17:30 . 2008-09-23 17:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpinTop Games
2008-09-23 16:23 . 2008-09-23 16:23 <DIR> d-------- C:\Programme\Amazing Adventures Around the World
2008-09-23 16:23 . 2008-09-23 16:23 <DIR> d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\SpinTop
2008-09-17 19:24 . 2008-09-17 19:24 <DIR> d-------- C:\Programme\ReflexiveArcade
2008-09-17 19:24 . 2008-09-17 19:35 <DIR> d-------- C:\Programme\Fashion Craze

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-01 06:36 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Vidalia
2008-10-01 06:36 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\tor
2008-10-01 06:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-10-01 06:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-28 09:53 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-27 12:25 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Azureus
2008-09-25 21:05 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-18 14:19 --------- d-----w C:\Programme\Winamp
2008-09-18 14:18 --------- d-----w C:\Programme\Buzzy Bumble
2008-08-19 18:23 --------- d-----w C:\Programme\iPod
2008-08-19 16:50 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Gamelab
2008-08-15 15:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Go-Go Gourmet Chef of the Year
2008-08-09 16:10 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\PlayFirst
2008-08-09 16:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-08-07 09:34 --------- d-----w C:\Programme\Google
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:16 253,952 ----a-w C:\WINDOWS\system32\es.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-11-22 12889088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2002-01-09 151552]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2002-01-09 106496]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2001-08-09 118784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-10 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-01-15 267048]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 266497]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-17 185896]
"CanonSolutionMenu"="C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
"CanonMyPrinter"="C:\Programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R3 {6D08DE67-D457-4d38-A7F5-D88CCB81EE00};AIM 3.0 NS2501;C:\WINDOWS\system32\drivers\A306.sys [2002-01-15 13881]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f24de60-3008-11dd-af3e-00e000f5cbe3}]
\Shell\AutoRun\command - E:\WD_Windows_Tools\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{88527140-94ee-11dc-ade9-00e000f5cbe3}]
\Shell\AutoRun\command - G:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-01 09:49:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-01 9:52:35
ComboFix-quarantined-files.txt 2008-10-01 07:52:30
ComboFix2.txt 2008-10-01 06:36:04

Vor Suchlauf: 1.362.292.736 Bytes frei
Nach Suchlauf: 1,347,399,680 Bytes frei

129 --- E O F --- 2008-09-17 17:56:58

Ach ja die Meldung

System settings Protector usw.
kam wieder

die andere nicht!!

Danke dir Sunny!!

Zitat:

Zitat von edibonedi (Beitrag 378544)

Ach ja die Meldung

System settings Protector usw.
kam wieder

die andere nicht!!

Danke dir Sunny!!

Ein Neustart wurde ja durchgeführt, und wenn es keine Probleme gibt sollte das erste Script keinen "Schaden" angerichtet haben.

Mach jetzt den Scan mit Malwarebytes und poste den Report...

Sunny

O.k. Sunny habe den Scan beendet..

Hier der Report:

Zitat:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1225
Windows 5.1.2600 Service Pack 2

01.10.2008 11:39:14
mbam-log-2008-10-01 (11-39-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 84907
Laufzeit: 1 hour(s), 28 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 22

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\system32\bwdrmolh.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\efajxgme.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\hlgawnga.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\hutebi.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\jgsnyebd.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\jlrunotv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\mlJAqopM.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\rfeglgwv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\xhccip.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\yesghhjw.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{533AE353-C68C-485B-9C07-2579DC5DEE4F}\RP209\A0032560.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{533AE353-C68C-485B-9C07-2579DC5DEE4F}\RP209\A0032629.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{533AE353-C68C-485B-9C07-2579DC5DEE4F}\RP211\A0033900.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{533AE353-C68C-485B-9C07-2579DC5DEE4F}\RP211\A0033887.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{533AE353-C68C-485B-9C07-2579DC5DEE4F}\RP211\A0033890.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{533AE353-C68C-485B-9C07-2579DC5DEE4F}\RP211\A0033891.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{533AE353-C68C-485B-9C07-2579DC5DEE4F}\RP211\A0033892.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{533AE353-C68C-485B-9C07-2579DC5DEE4F}\RP211\A0033893.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{533AE353-C68C-485B-9C07-2579DC5DEE4F}\RP211\A0033894.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{533AE353-C68C-485B-9C07-2579DC5DEE4F}\RP211\A0033896.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{533AE353-C68C-485B-9C07-2579DC5DEE4F}\RP211\A0033898.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{533AE353-C68C-485B-9C07-2579DC5DEE4F}\RP211\A0033901.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

Ich warte auf weitere Anweißungen..

Danke für deine klasse Hilfe,

die sogar ich als laie gut durchführen kann!!

Gruß
Edi

Hast du dein System nach dem Scan mit Malwarebytes schon mal wieder neu gestartet? Wenn nicht, dann tue dies bitte und berichte ob immer noch eine Fehlermeldung erscheint.

Deaktiviere aber bitte vorher unbedingt mal den TeaTimer von Spybot...also schalte ihn komplett ab, erst dann Neustart..

Hi Sunny!

Habe den Neustart gemacht.
Schaut alles astrein aus.
Hab ich`s jetzt echt überstanden??
Oh man des wär traumhaft.

Vielen vielen Dank für deine tolle Hilfe!!

Grüße Edi

Wenn es keinerlei Fehlermeldungen mehr gibt nach dem Neustart und auch so das System wieder rund läuft, sollte alles wieder im grünen Bereich sein. ;)

Gruß :daumenhoc
Sunny

Wahnsinn!! :aplaus::aplaus::aplaus:

Ich danke dir nochmals sakrisch!!!

Sunny is the MAN! The one and only!!

DANKE

Zitat:

Zitat von edibonedi (Beitrag 378575)

Ich danke dir nochmals sakrisch!!!

Bitteschön.. ;)

Aber kannst du mir erklären was -> sakrisch ist?

EDIT:

Habs gefunden :D http://www.duden.de/duden-suche/werk...sch.57122.html