|
TR/Vundo verursacht all diese Probleme ??? abend alle miteinander, erst einmal auf ein gutes miteinander ich möchte auch nun direkt mein problem schildern und hoffe kompetente hilfe zu bekommen: Hardware: Laptop HP DV9 Betriebssystem: Vista Home Premium vor 2 tagen fing es an, mein internet explorer öffnete sich nicht mehr. fehler meldung: fehler in anwedung.. die anweisung in blaablaa verweist auf speicher blaablaa... klicken sie auf ok um das programm zu beenden. ok dacht ich mir, kümmere mich später drum, und auf firefox ausgewichen. nun ist es so, dass wenn ich bei google einen suchbegriff eingeben möchte, öffnen sich prompt andere seiten.... mein kaspersky internet security 2009 öffnet sich nicht mehr. ich kann auf die microsoft website nicht zugreifen... habe dann anti vir laufen lassen und der hat dann den TR/Vundo.gen trojaner gefunden und laut anti-vir gelöscht. aber noch immer habe ich die probleme, die ich erwähnt habe habe soebend hijackthis laufen lassen und...naja, würdet ihr bitte mal ein blick drauf werfen ?? ich bin echt ratlos.... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:52:05, on 17.02.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\System32\rundll32.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\system32\taskeng.exe C:\Program Files\DNA\btdna.exe C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TY...vilion&pf=cnnb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TY...vilion&pf=cnnb R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TY...vilion&pf=cnnb R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\2.0" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe O13 - Gopher Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{093F665E-8AA2-45E7-B6D7-A20304F058D0}: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CCS\Services\Tcpip\..\{B17297F0-60DF-4DC8-A7ED-9D8A05DF7313}: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS1\Services\Tcpip\..\{093F665E-8AA2-45E7-B6D7-A20304F058D0}: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk. dll O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\aestsrv.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe O23 - Service: Recovery Service for Windows - Unknown owner - C:\Windows\SMINST\BLService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\STacSV.exe O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Service.exe -- End of file - 9754 bytes ich danke im vorraus und hoffe auf hilfe stoßen zukönnen.... beste grüsse, isabella |
Hallo Isabella In deinem Rechner ist eine Umleitung auf einen ukrainischen Server Die IP ´s 85.255.112.39,85.255.112.40 weisen in die Ukraine. Also ab sofort kein Online Banking mehr. Ich hatte vor einigen Tagen die gleichen Probleme, mit der tatkräftigen Unterstützung des Teams hier haben wirs aber wieder hinbekommen. Wahrscheinlich hast du dir einen sigenannten Trojan.DNSChanger eingefangen, der zeitgleich mit einem Rootkit in dein System gelang ist. Aber erst mal keine Panik. Checken wir das erst mal von Anfang an. geh mal in deine Netzwerkverbindung ( mit dem du ins Internet gehst ) und suche den Eintrag TCP/IP. Klicke einmal darauf und dann auf Eigenschaften. Ganz unten solltest du dann DNS Server automatisch beziehen sehen. Falls nicht und die IPs dort zu sehen sind melde dich nochmal, dann haben wir wahrscheinlich einen Virus in deinem System. Hast di ein Antiviren Programm auf deinem Rechner? Wenn ja welches ? Hab übrigens Nachtdienst kann dir ein wenig helfen |
Zitat:
yuhuuu, hilfe für mich :) vielen dank erstmal... also... IPv4 Standartgateway: 192.168.1.1 IPv4 DHCP Server: 192.168.1.1 IPv4DNS Server: 85.255.112.39 85.255.112.40 für gewöhnlich benutze ich Kaspersky internet security 2009, aber dieses öffnet sich nicht mehr seit ein paar tagen. nun hab ich anti-vir free version geladen und der hat den TR/Vundo.gen gefunden und laut angaben "gelöscht". kommt mir aber nicht so vor :confused: |
Das sind nicht die Einträge die ich meine, aber die IP´s in die Ukraine sind da. Nochmal zur Absicherung: Geh bitte zurück und auf START Systemsteuerung Netzwerk- und Internetverbindungen Netzwerkverbindungen Hierauf dann einen Rechtsklick und Eigenschaften anklicken. Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. Hierauf auch einen Rechtsklick und Eigenschaften aufrufen. Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP drücke hier einmal mit der linken Maustaste drau und dann auf Eigenschaften. Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern ( die oben ) eingetragen? |
Zitat:
da sind ip's eingetragen, sprich; NICHT automatisch beziehen.... das heisst nichts gutes, ne ??:( |
Leider nein, dein System ist kompromitiert: Bitte lest hierzu Technische Kompromittierung - Definition und entspr. Handlung Du solltest dein System neu aufsetzen:http://www.trojaner-board.de/51262-a...sicherung.html Wie schon gesagt es handelt sich mit an Sicherheit grenzender Wahrscheinlichkeit um einen Trojan.DNSChanger der sich mittels Rootkit eingeschlichen hat. Erklärung Rootkit: Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Vermutlich hat dein Virenscanner deshalb nicht gemeckert. Die 017 Eintrage in deinem Hijack sind der Hinweis auf einen DNS Changer Fall du jedoch diese Hinweise aus dringenden Gründen mißachten musst, können wir versuchen dein System zu retten. Es wird einige Zeit in Anspruch nehmen, vorab solltest du deine Systemwiederherstellung abschalten und alle Wiederherstellungspunkte löschen ( mit Ja antworten ) Anschließend melden, Du verstehst hoffentlich das ich keine Garantie übernehmen kann wenns schiefgeht, ich gehe mit dir die Schritte durch die meinem System geholfen haben. Bitte unternehme nichts selbstständig mfg Klaus |
Zitat:
ich hab so verdammt viele wichtige dokumente auf meinem rechner... ich habe eine systemwiederherstellungs datei vom 17.02.09 entdeckt. mir wäre es lieber, hier zu hocken und alles zu versuchen um den dreck entfernt zukriegen, statt alles neu aufzuspielen :heulen: |
OK versuchen wirs, man ist ja nicht umsonst Freund und Helfer Schalte nun deine Systemwiederherstellung ab und lösche somit alle Wiederherstellungspunkte |
Zitat:
so, wurde deaktiviert & gelöscht... |
Lade und installiere folgende Programme: Avenger http://swandog46.geekstogo.com/avenger2/download.php Gmer http://www.gmer.net/gmer.zip CCleaner Anleitung: CCleaner http://www.trojaner-board.de/51464-a...-ccleaner.html<- dl link in der Anleitung Malwarebyte Anleitung: Malwarebytes Anti-Malware http://www.trojaner-board.de/51187-a...i-malware.html <- dl link in der Anleitung runter. Nur Laden und installieren, aber noch nichts machen. Schaut insbesondere in die Erklärungen zu den Programmen ( in diesem Board )lese sie aufmerksam durch. Wenn erledigt, lass nochmal Hijack this laufen und lösche alle 017 Einträge. Sprich kleine Box anklicken und fixen Anschließend zurück in die Eigenschaften deiner TCP/IP verbindung und auf automatisch beziehen klicken. Reboot und schau anschließend nach, ob die Einträge noch da sind oder ob die Verbindung auf automatisch stehen bleibt Gehen wir auf die Jagd ........:snyper: |
Bin gleich wieder da, für den Fall das du vorher online bist....Lass den Malwarebyte auf Full scan laufen und lasse alle Funde löschen |
Zitat:
so...danke ersteinmal :)) 1. systemwiederherstellung deaktiviert & gelöscht 2. hijackthis rennen lassen und alle 017er einträge gelösct (insgesammt 5) 3. DNS auf automatisch beziehen eingestellt. 4. alle programme gedownloadet 5. lappy neugestartet 6. HIER IST DAS PROBLEM, ich komme von lappy aus nicht mehr in das internet. weder w-lan, noch direkt vom modem !!! habe zum glück noch ein entertainment pc im wohnzimmer zustehen, mit dem ich gerade direkt vom modem online bin. hier kann ich online kommen, aber vom laptop aus nicht, auf dem selbem wege. wie soll ich weiter vorgehen ??? |
Hast du Malwarebyte bereits installiert? |
Zitat:
hi, ja, nach all den schritten, habe ich malware vom usb stick in den lappy schmuggeln können. läuft bereits seit 30 min. und hat 8 infizierte datein gefunden. er sucht noch immer. das ding ist, als ich am lappy die datei downloaden wollte, wurde ich auf eine seite, die sich filepony nennt geleitet um es von da zu downloaden. kam mir sehr spanisch vor, also hab ich es vom pc gedownloaded und siehe da, gleicher link, aber andere website.....sehhhr komisch...:confused: |
Wenn ja, lass es laufen und lasse alle Einträge löschen die es möglicherweise findet. Ich brauche jetzt eine Zeit um nach Hause zu kommen, logge mich dann wieder ein um nachzuschauen....melde mich dann bei dir. Wir müssen uns dann nochmal deine Netzwerkeinstellungen ansehen Bis später |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board