|
Vundo.Gen Trojaner wie löschen?? Hallo, ich habe schon die suche benutzt aber entweder ihr sprecht eine andere sprache oder ich versteh davon einfach überhaupt nichts. :( Gestern Abend hab ich mein PC eingeschalten und sofort kam AntiVir mit 16 Funden "Vundo.Gen". Wenn der PC normal hochfährt kann man nichts mehr machen. Hab ihn jetzt im abgesicherten Modus gebootet und bin verzweifelt auf der suche nach der Lösung des Problems, könnt ihr mir irgendwie weiterhelfen? |
Hi, arbeite bitte alles was unter dem Link "Erstbeitrag" steht im abgesicherten Modus ab (s. Signatur)... Zusätzlich: SilentRunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip chris |
Habe jetzt alle Tests soweit gemacht. Als erstes den CCleaner, dann Anti-Maleware und schliesslich HJT. Im Abgesicherten Modus funktioniert bei mir das Internet nur etwa 10 Minuten, nach dem Neustart gings wieder. Jetzt nachdem ich alles hatte hab ich einen letzten Neustart gemacht. Allerdings ist der PC nicht mehr hochgefahren nach dem klick auf den abgesicherten Modus hatte ich auch das Windows Betriebssystem nicht mehr zur auswahl?? Hab nocheinmal normal gebootet und die Datenträger wurden auf ihre Konsistenz geprüft? Nachdem hat sich der PC nochmal gebootet hat (normal) war alles wieder in Ordnung. Will mir trotzdem 100% sicher sein, also hier meine logs. Code: Malwarebytes' Anti-Malware 1.36HJT Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, hier der erste Teile aus dem HJ-Log, bevor sich das Teil wieder festsetzt: Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Registry values to replace with dummy: 3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O4 - HKUS\S-1-5-19\..\Run: [noyiwahube] Rundll32.exe "C:\WINDOWS\system32\gefuvura.dll",s (User 'LOKALER DIENST') |
Hi, habe das Programm ausgeführt und anschliessend neu gestartet. Die Log ist zwar unter C:/Avenger gespeichert allerdings als ZIP mit Passwort? Dann hab ich HJT geöffnet und die Häckchen gesetzt, allerdings war ein Befehl nicht dabei. Code: O4 - HKLM\..\Run: [noyiwahube] Rundll32.exe "C:\WINDOWS\system32\gefuvura.dll",sMfg |
Hi, den Eintrag hat Avenger gekillt... Was wurde von Avira noch gefunden (und wo)? Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.htm Führe einen Systemscan durch und poste das Ergebnis! Mach ein update für MAM und lass es dann auch noch mal laufen... Wird dann was gefunden, RSIT: RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris |
Hab die aggressiven Settings eingestellt und gefunden hat Avira folgendes: Die ersten 4 Einträge waren noch vom letzten Monat, jetzt sind hald noch 100 dazugekommen, alle Vundo. Avira läuft im Moment muss aber bald los, schaffe ich es nicht poste ich morgen das Ergebnis. Code: In der Datei 'C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8ymow3hh.default\Cache\_CACHE_003_' |
Hi, hochgradig verseucht, besonderst die Meldung mit TDSS ist sehr unschön... So, Tool runterladen, offline gehen und noch mal alle zwei (MAM&Avira) durchlassen, danach immer noch offline combofix. Es sind Einträge wieder da, die vorher explizit erfolgreich gelöscht wurden, d.h. solange Du online bist und nicht alles erwischt wurde, laden sich die Tierchen selber nach... Dann kurz online gehen, die Protokolle posten und wieder offline, nur kurz immer zum nachschauen online, am Besten über einen Zweitrechner... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Dann muss ich Dir noch die Frage stellen (da einige, äh interessante Programme erkannt wurden), od Du cracks etc. einsetzt...? chris |
Hi, du hattest Recht. Hab jetzt wieder den selben Dreck hier wie davor. Aber momentan funktioniert noch alles im normalen boot modus. Hab jetzt alles runtergeladen was ich brauche und geupdatet, Screenshots von deinen posts gemacht und werde die ganzen Scans morgen offline durchführen und die Ergebnisse mit den anderen Rechner posten. Wie lange muss ich denn dann offline bleiben? Ich benutze eigentlich keine Cracks, spiele eher PS3. Ein freund hat mir mal ein paar Programme und Spiele mit Crack draufgemacht das wars aber schon... Die einzigen Programme die ich im Moment brauche und mit Crack benutze sind Clone u AnyDVD. mfg |
Hi, hab jetzt Avira und MAM offline durchlaufen lassen und anschliessend RSIT. Avira hat wieder ne Menge gefunden, MAM nur 2 infizierte Dateien. Anscheiend hat sich der Virus auch gleich mal in das Programm ComboFix eingenistest was dann auch gelöscht wurde. Hab es jetzt nochmal über den anderen Rechner geladen und über USB rüber gezogen. Die Logs poste ich jetzt auch mit dem anderen Rechner. Jetzt noch ComboFix laufen lassen und diese Log noch posten oder? Code: Malwarebytes' Anti-Malware 1.36Code: |
Code: info.txt logfile of random's system information tool 1.06 2009-05-11 16:13:55 |
Code: Logfile of random's system information tool 1.06 (written by random/random) |
... Code: ======List of files/folders created in the last 1 months====== |
Wenn ich ComboFix starten will kommt die Meldung "Achtung!! ComboFix hat festgestellt das folgende Real-Time-Scanner aktiv sind: Avira Antivir Antivirus und Eindringling Schutzprogramme sind dafuer bekannt, dass sie die Arbeit von ComboFix behindern. Dies kann zu unvorhersehbaren Ergebnissen oder eventuellen PC Schaden fuehren. Bitte deaktiviere diese Scanner, bevor Du auf OK klickst." Soll ich jetzt Avira deinstall? Der Scanner ist ja immer aktiv oder? |
Hi, nein, Avira lässt sich über: Taskleiste->rechte Maustaste über dem Avirasymbol->AntiVir Guard akvtivieren dort das Häkchen raus, dann sollte er deaktiviert sein... Eine Deinstallation ist nicht notwendig! chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board