|
Vundo.Gen & Crypt.XPACK.Gen Hallo, meine Freundin hatte vor kurzer Zeit Antivirus 2008 XP auf ihrem Laptop gehabt.(Ich denke, dass dieser euch allen bekannt ist.) Ich habe nach längerem Googeln eine manuelle Anleitung zum Entfernen gefunden. Dies hat aber wohl nur teilweise geklappt, bzw. es sind wohl gleichzeitig auch Trojaner auf den Pc gekommen. Wenn ich nun einen Komplett-Scan mit Avira durchlaufen lasse, findet er zwei Trojaner: 1.)Vundo.Gen 2.)Crypt.XPACK.Gen Wähle ich löschen aus, läuft er der Scan weiter durch und findet sie direkt wieder. Dies wiederholt sich dann sehr oft. Als betroffene Dateien nennt er folgende: - system32/nnnkKCvt.dll - system32/jousxw.dll Könnt ihr mir vielleicht weiterhelfen? Soll ich den Report von Avira posten? Über Hilfe wäre ich sehr erfreut. Liebe Grüße Miko |
Hi, bitte ein HJ-Log gemäß dem Link in der Signatur und das Log von Avira. Dann noch SilentRunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip chris |
Hallo Chris4you, vielen Dank erstmal für deine schnelle Hilfe. Ich hoffe ich habe alles nach deinen Vorstellungen erledigt. Wenn nicht, sag es bitte. Hier als erstes der HJ-Log: Code: Logfile of Trend Micro HijackThis v2.0.2Code: |
Und hier schließlich der Text von der erstellten Datein von Silent Runners: Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/Liebe Grüße Miko |
Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: c:\windows\system32\jousxw.dll
Falls ein File nicht erkannt wurde, unten rausnehmen! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O20 - Winlogon Notify: ljJBrqOi - ljJBrqOi.dll (file missing)Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Java ist total veraltet: Download jre-6u7-windows-i586-p.exe Scrolle runter nach ---->Java Runtime Environment (JRE) 6u7 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze ein Haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6-windows-i586.exe”zum Desktop zu installieren Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe” Danach müssen wir noch die Systemwiederherstellung bereinigen, dass machen wir aber erst nach den ganzen Durchläufen.... Chris |
Code: c:\windows\system32\jousxw.dllIch finde die 3 von dir genannten Dateien nicht. Habe aber schon die versteckten Dateien anzeigen lassen. Was soll ich jetzt machen? Dazu muss ich sagen, dass gestern Avira wieder Dateien gefunden hatte, und ich dort auf Zugriff verweigern geklickt hatte, woraufhin sich CA Security Center meldete und versuchte etwas zu löschen. Bin mir aber nicht sicher ob das geklappt hat oder nicht. Soll ich erneut ein HJ-Log, etc. erstellen? Gruß Miko |
Hi, kopiere einfach den Namen mit Pfad direkt in das Feld bei virustotal, dann auf jeden Fall noch das Avengerscript & MAM laufen lassen (wie beschrieben)... Poste dann auch noch ein neues HJ-Log... chris |
Hey Chris, ich habe versucht deine Anleitung so gut wie möglich zu erledigen aber es hat nicht alles so geklappt. Fangen wir an. Da ich die drei von dir genannten Dateien so nicht gefunden hatte wurden sie auch nicht über den Pfad in dem Durchsuchen-Feld gefunden. Somit habe ich sie dann beim avenger rausgenommen. Die dabei entstandene Textdatei war nach dem einen Neustart komplett weg! Was jetzt? Hier der MAM-Log: Code: Malwarebytes' Anti-Malware 1.30Code: Logfile of Trend Micro HijackThis v2.0.2Hat es funktioniert mit der Bereinigung bis hierhin? Wie sieht der nächste Schritt aus? Vielen Dank für die gut erklärte Hilfe!!! Gruß Miko |
Beim HJ-Fixen konnte ich nur folgende Einträge fixen, da die anderen gar nicht da waren: Code: O2 - BHO: {3ec01094-ba2d-8b89-04b4-ffcbd0fdabc4} - {4cbadf0d-bcff-4b40-98b8-d2ab49010ce3} - C:\WINDOWS\system32\jousxw.dll (file missing)Miko |
Hi, das HJ-Log wäre sauber, da aber ein Trojan-Downloader gefunden wurde, traue ich dem Braten nicht (das wäre zu einfach!).... Avira-Rootkit&MBR: Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip MBR-Rootkit Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; Prevx (kann nur Scannen, das aber recht gut): http://www.prevx.com/freescan.asp Achtung: Wenn einer der Rootkitdetektoren was findet: Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird chris |
Hey, Avira Rootkit hat folgenden Report ausgegeben: Code: Avira AntiRootkit Tool - Beta (1.0.1.17)Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netEs war einmal die avenger.exe Datei welche als Mailicious Software erkannt wurde und dann noch die Content.IE5\258E1AG0\avenger[1].exe welche sich in den temporary Internet Files befindet und ebenfalls als Malicious Software erkannt wurde. Ich habe jetzt nichts mit Combofix gemacht, da ich ja eigentlich nichts mit einem Rootkitdetektor gefunden habe. Oder soll ich trotzdem einen Scan mit Combofix durchführen? Und wie immer vielen Dank!!! Gruß Miko PS: Ich hatte noch vergessen zu sagen, dass immer angezeigt wurde, dass die Windows Updates ausgestellt sind, ich diese jedoch nicht wieder einstellen konnte. Dieses Problem besteht jetzt nicht mehr, ich kann es ohne Probleme wieder aktiv stellen. |
Hi, Avenger arbeitet ähnlich wie ein Trojaner, daher ist die Erkennung ok (das gleiche passiert bei Combofix, SmithFraudfix etc.). Dann sollte der Rechner jetzt eigentlich sauber sein... chris |
Hey, du meintest aber, dass noch ein Trojan-Downloader vorhanden ist? Wie sicher ist es denn, dass er sauber ist? Gruß Miko |
Hi, absolute Sicherheit gibt es nicht, aber keiner der beiden Scanner hat etwas in der Richtung gefunden... Sicher kannst Du Dir nur nach dem Neuaufsetzen sein ... chris |
Vielen vielen Dank für deine große Hilfe die hoffentlich auch erfolgreich war. Wenn ich den Pc neu aufsetzen sollte, Bilder, etc. dürften nicht infiziert sein oder? Gruß Miko |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board