Hallo,

ich bin das erste mal im Forum.
Mein Problem: Ich habe im Internet nach einem Keygen gesucht. Habe mir dabei diesen Trojaner TR/Vundeo.Gen auf den Rechner gezogen. Beim starten von Windows werden zwei Akustik-Signale hörbar. Sofort nach Benutzereinstellungen werden geprüft. Dann öffnet sich das Hintergrundbild ohne Desktop-Symbole. Sofort erscheinen die von AntiVir gefundenen Fehler. Ich habe nun AntiVir deaktiviert und Vundofix über den Taskmanager aufspielen können. Dies ist übrigens die einzige Möglichkeit um noch irgendwie mit dem Rechner Funktionen ausüben zu können. Vundofix 6.7.7 habe ich scannen lassen und er hat

C:\Windows\systrem32\awtsq.dll
Fund ist das trojanische Pferd TR/Vundo.Gen
Warnung Die Datei konnte nicht gelöscht werden
C:\Windows\system32\awtsqop.dll
Fund ist das trojanische Pferd TR/Vundo.Gen
Warnung Die Datei konnte nicht gelöscht werden
C:\Windows\system32\jlrkfcsr.dll
gefunden.
Desweiteren stehen noch zwei weitere Orte die das Programm gefunden hat.
C:\system32\qstwa.ini
C:\system32\qstwa.ini2

Ich habe den Vundofix jetzt schon einige Stunden auf Remove Vundo stehen. Dauert es denn wirklich so lange, oder stimmt hier etwas nicht.

Welche Möglichkeit habe ich, um die Reportdatei an das Forum zu senden um für sie einen besseren Überblick meines Problems zu ermöglichen, da ich an einem anderen Rechner mit ihnen kommuniziere.

Noch zur Information . Ich bin echt ein totaler Laie auf dem Gebiet PC. Daher möchte ich um Nachsicht meiner Fragen bitten.

mit freundlichsten Grüßen

der Invizierte - Lothar

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Zitat:

Zitat von BataAlexander

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

hallo bataalexander.

habe das programm jetzt durchlaufen lassen. Mit der Frage ob der PC neu gestartet werden soll, habe ich zugelassen. Nach dem der rechner hochgefahren ist zeigt mir AntiVir einen Trojaner TR/Trash.Gen. Soll ich das Programm noch einmal durchlaufen lassen?

Gruß Lothar

NEIN, poste das Logfile.

Sorry.
Du weisst ich bin totaler Laie. Wie mache ich das? Weil, ich sehe gerade nur den Hintergrundbildschirm mit dem Fund von AntiVir

Löschen wählen, dann Windows starten lassen.
Das Logfile liegt unter C:\Combofix.

Hier siehst du die Logdatei.


ComboFix 08-02.05.3 - xxx 2008-02-05 0:48:44.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.280 [GMT -12:00]
ausgeführt von:: F:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\awtsqop.dll
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\DriveCleaner Free
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\DriveCleaner Free\Logs\update.log
C:\Programme\Gemeinsame Dateien\drivecleaner free
C:\Programme\Helper
C:\WINDOWS\system32\3_exception.nls
C:\WINDOWS\system32\awtsq.dll
C:\WINDOWS\system32\awtsqop.dll
C:\WINDOWS\system32\qstwa.ini
C:\WINDOWS\system32\qstwa.ini2
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_LDRSVC
-------\LEGACY_NTMLSVC
-------\LEGACY_RUNTIME
-------\ldrsvc
-------\NdisWon
-------\NtmlSvc
-------\runtime


((((((((((((((((((((((( Dateien erstellt von 2008-01-05 bis 2008-02-05 ))))))))))))))))))))))))))))))
.

2008-02-04 09:41 . 2008-02-04 09:41 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-02-04 08:25 . 2008-02-04 14:29 <DIR> d-------- C:\VundoFix Backups
2008-02-04 00:43 . 2008-02-04 00:43 262,160 --a------ C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\setup_de[1].exe
2008-02-03 09:43 . 2008-02-03 09:43 5,624 --a------ C:\ovvigdvr.exe
2008-02-03 09:41 . 2008-02-03 09:43 2 --a------ C:\546785970
2008-02-03 09:37 . 2008-02-03 09:37 25,472 --a------ C:\WINDOWS\system32\drivers\Tye30.sys
2008-02-03 09:20 . 2008-02-03 09:20 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FFSJ
2008-02-01 02:29 . 2008-02-01 02:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-02-01 02:27 . 2008-02-01 02:27 <DIR> d-------- C:\Programme\SlySoft
2008-02-01 02:27 . 2008-02-01 02:29 24 --ahs---- C:\WINDOWS\SAA661174.tmp
2008-02-01 02:25 . 2008-02-03 09:40 <DIR> d-------- C:\Programme\Xilisoft
2008-02-01 02:25 . 2008-02-01 02:25 <DIR> d-------- C:\Programme\QuickTime
2008-01-28 07:28 . 2008-01-28 07:28 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\STOIK
2008-01-28 07:18 . 2008-01-28 07:20 <DIR> d-------- C:\Movavi files
2008-01-28 07:15 . 2008-01-28 07:22 42 --a------ C:\WINDOWS\IniFile1.ini
2008-01-24 10:51 . 2008-01-24 10:51 <DIR> d-------- C:\Programme\DivX
2008-01-24 02:31 . 2008-01-24 02:31 <DIR> d-------- C:\Programme\AVI MPEG RM WMV Splitter
2008-01-22 06:13 . 2008-01-22 06:13 <DIR> d-------- C:\Programme\Microsoft Silverlight
2008-01-16 04:32 . 2008-01-16 04:32 <DIR> d-------- C:\WINDOWS\system32\windows media
2008-01-16 04:32 . 2008-01-16 04:32 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2008-01-16 04:32 . 2008-01-16 04:32 <DIR> d-------- C:\Programme\Windows Media-Komponenten
2008-01-05 21:40 . 2008-01-05 21:40 161 --a------ C:\WINDOWS\wininit.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-05 02:21 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenOffice.org2
2008-02-03 21:56 --------- d-----w C:\Programme\Pinnacle
2008-02-03 21:55 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-21 18:55 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\saveTV
2008-01-17 18:48 --------- d-----w C:\Programme\ICQ6
2008-01-12 19:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-01-06 09:40 --------- d-----w C:\Programme\Google
2008-01-06 09:37 --------- d-----w C:\Programme\Paint.NET
2008-01-04 06:26 --------- d-----w C:\Programme\Lexmark X1100 Series
2008-01-01 03:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2007-12-31 00:06 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\NeroVision
2007-12-30 09:59 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\BitTorrent
2007-12-26 20:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-12-20 17:50 --------- d-----w C:\Programme\Ahead
2007-12-05 06:44 --------- d-----w C:\Programme\WinFast
2007-12-05 06:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Ulead Systems
2007-07-08 17:26 404 ----a-w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mdb.bin
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3675c430-eb4a-4921-b94c-2c193f35e67a}]
C:\WINDOWS\system32\jlrkfcsr.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.exe" [2004-10-13 04:24 1694208]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ]
"IW_Drop_Icon"="C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe" [2004-07-30 15:10 1123840]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-25 13:07 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 16:26 406016]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 14:37 249896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-08 21:50 155648]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2003-11-25 03:36 1232946]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 10:51 57344]
"emMON"="emMON.exe" [2006-05-30 21:24 61440 C:\WINDOWS\emMON.exe]
"NI.UGESU_0001_N122M2811"="c:\dokumente und einstellungen\xxx\anwendungsdaten\setup_de[1].exe" [2008-02-04 00:43 262160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="cmd.exe" [2004-08-04 00:57 401408 C:\WINDOWS\system32\cmd.exe]
"nlhr"="C:\WINDOWS\System32\AdvPack.Dll" [2004-08-03 12:57 102400]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-03 12:38 44544]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\awtsq

R0 Tye30;Tye30;C:\WINDOWS\system32\Drivers\Tye30.sys [2008-02-03 09:37]
R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2004-09-01 14:50]
R3 cdrdrv;Cdrdrv;C:\WINDOWS\system32\Drivers\Cdrdrv.sys [2005-02-10 11:55]
S1 fnhoje;fnhoje;C:\WINDOWS\system32\fnhoje []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe []
S3 HotSpotFSvc;Hotspot Manager;"C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe" []
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys []
S3 USB28xxBGA;USB 2820 Device;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2006-09-12 21:21]
S3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2006-08-21 23:38]
S3 WFIOCTL;WFIOCTL;C:\Programme\WinFast\WFTVFM\WFIOCTL.SYS []

.
Inhalt des "geplante Tasks" Ordners
"2008-01-29 23:55:34 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-02-02 03:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-05 01:05:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-05 1:07:01 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-05 13:06:56
.
2008-01-18 18:38:42 --- E O F ---

Ich habe gerade den Rechner neu gestartet und er zeigt mir keinen Fund mehr an. Liege ich nun richtig in der Annahme, dass der Rechner Virenfrei ist?

Wenn ja, dann bist du der Grösste für mich.

Dein Rechner ist durch mindestens einen Backdoor befallen.
An diesem Punkt würde ich den Rechner neu installieren.
Zu Backupzwecken kann man aber versuchen den Rechner zu säubern.

Zitat:

Zitat von wildhild26

Ich habe gerade den Rechner neu gestartet und er zeigt mir keinen Fund mehr an. Liege ich nun richtig in der Annahme, dass der Rechner Virenfrei ist?

Wenn ja, dann bist du der Grösste für mich.

Ich habe jetzt einige Versuche durchgeführt. Der Rechner nimmt alle Handlungen die ich durchführe an. Ich habe in dem Logfile nun die infizierten files gefunden. Muss ich diese nun löschen?

Wie kann ich den Rechner an diesem Backpunkt neu installieren. Was kann ich tun.

Dein Rechner ist von einem Programm befallen, welches dem Angreifer Vollzugriff auf Dein System ermöglicht.
Daher mein Vorschlag, den Rechner neu zu machen, statt ihn zu bereinigen.
Zu Backupzwecken, kann man versuchen ihn zu säubern.

Leider befinden sich auf meinem Rechner für mich eine Menge Daten, die mit einer Neuinstallierung ja somit vollständig verloren gehen würden. Mache ich mir aber eine Sicherungscd oder DVD so könnte es vorkommen, dass ich die Viren wieder in das neue System mit hinein führen würde. Du sagst zu Backupzwecken könnte man den rechner säubern. Was meinst du damit und wie müsste ich da vorgehen?

Sicher hast du recht damit, den Rechner zu erneuern.

Ich möchte dir auf jeden Fall ganz herzlich für deine prompte Hilfe danken. Ich finde ihr seid hier im Forum ein ganz tolles Team und ich werde, hoffentlich nicht so bald, gerne wieder hierher kommen, wenn ich eure Hilfe brauche. Natürlich werde ich euch auch weiter empfehlen. Also noch einmal

recht herzlichen Dank für deine Hilfe BataAlexander

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

File::
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\setup_de[1].exe
C:\ovvigdvr.exe
C:\546785970
C:\WINDOWS\system32\drivers\Tye30.sys
C:\WINDOWS\SAA661174.tmpC:\Dokumente und Einstellungen\xxx\Anwendungsdaten\STOIK
C:\WINDOWS\system32\jlrkfcsr.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3675c430-eb4a-4921-b94c-2c193f35e67a}]
"NI.UGESU_0001_N122M2811"="c:\dokumente und einstellungen\xxx\anwendungsdaten\setup_de[1].exe" [2008-02-04 00:43 262160]

Driver::
fnhoje
         

3. Speichere im Notepad als CFScript.txt auf dem Dektop.

4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



5. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Scipt ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
Beim umbenennen ist es wichtig, dass die Dateinamenerweiterungen angezeigt werden.
Wenn Du eine HiJackThis.exe siehst, passt das, falls da nur HijackThis steht, geh bitte wie folgt vor:
Im Explorer auf Extras Ordneroptionen, dann auf den Reiter Ansicht. Dort machst Du dann den Haken bei "Erweiterungen bei bekannten Dateitypen ausblenden" raus. Dann kannst Du die HiJackThis.exe umbenennen.

-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.