| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Vundo.DSTWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
20.12.2007, 09:33
| #1 |
| |  TR/Vundo.DST Hallo un zwar plagt ich zeit tagen der trojaner TR/Vundo.DST der fund wird imer angezeigt wenn ich im internet (explorer) seiten öffne,links anklicke aber auch wenn ich nichts mache kommt das mal vor er findet den immer in C:\WINDOWS\System32\rqrronk.dll hier der HijackThis log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:27:15, on 19.01.2008 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Lexmark 1200 Series\lxczbmgr.exe C:\WINDOWS\VM_STI.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Save\Save.exe C:\Programme\Lexmark 1200 Series\lxczbmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\System32\svchost.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE D:\Install\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\System32\rqrronk.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe" O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1579FF33-1DC0-4432-80C8-B6889449D7E2}: NameServer = 217.237.149.142 217.237.150.205 O20 - Winlogon Notify: rqrronk - C:\WINDOWS\SYSTEM32\rqrronk.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5042 bytes danke schonmal für hilfe,wenn man mir helfen kann -.- Gejsha |
|
20.12.2007, 10:11
| #2 |
 | TR/Vundo.DST Hallo, zuert mal prüfe diese datei : C:\WINDOWS\System32\rqrronk.dll
__________________bei Virustotal.com danach updatest du erstmal dein system. Dann Postest du das Ergebniss von Scan hier und dann wechselst du in den angesicherten Modus. Dann Fixest du folgendes: O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe" O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) Manuel löscht du das(wenns geht): C:\Programme\Save\Save.exe Die Datei C:\WINDOWS\System32\rqrronk.dll können wir est nach dem Scan von Virustotal "bearbeiten".
__________________ |
|
20.12.2007, 10:27
| #3 |
| | TR/Vundo.DST 0 bytes size received / Se ha recibido un archivo vacio
__________________das kommt immer beim scan raus hab auch mehr mal versucht weils mir komisch war kommt aber immer das raus C:\Programme\Save\Save.exe das hab ich auch schon gelöscht lg in den abgesicherten modus ok aber wie fixe ich das denn??? bin in sowa snicht so bewandert  O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe" O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) lg gejsha |
|
20.12.2007, 22:03
| #4 |
| | TR/Vundo.DST Hallo hab den trojaner mit Vundofix wegbekommen ich danke trozdem herzlich für hilfe lg |
|
21.12.2007, 09:04
| #5 | |
| | TR/Vundo.DSTZitat:
und dann zu virustotal1 Mache alle Datein sichtbar und 2. du kannst auch eine andere Seite nemen namens Jotti (h**p://virusscan.jotti.org/de/ ) Gut ist denn jetzt der Fund weg also Vundo usw. ? Aber du kannst ja nochmal "VundoFix drüber laufen lassen: * Lade dir vundofix.exe VundoFix * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. |
|
| Themen zu TR/Vundo.DST |
| adapter, adobe, antivir, avg, avira, bho, ctfmon.exe, explorer, helfen, hijack, hijackthis, hkus\s-1-5-18, icq, internet, internet explorer, microsoft, monitor, object, pdf, programme, s-1-5-18, seiten, software, system, t-online, trend micro, trojaner, windows, windows xp, wlan |
Linear-Darstellung
