Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Vundo.fnr.48 - entfernen (https://www.trojaner-board.de/62600-tr-vundo-fnr-48-entfernen.html)

MarkoM 22.10.2008 10:04
TR/Vundo.fnr.48 - entfernen
 
Habe seit heute morgen einen fiesen Trojaner auf dem Laptop, der sich mit Antivir und Avast nicht entfernen lässt! Mein Antivir piepst ständig auf, es machen sich auch ständig Pop-up-Fenster auf, bitte helft mir!! :/
Hab grad HiJackThis runtergeladen und ein Log erstellt, welches so aussieht:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:51:47, on 22.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Intel\WiFi\bin\S24EvMon.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\Programme\COMODO\Firewall\cmdagent.exe
D:\Programme\Intel\WiFi\bin\EvtEng.exe
D:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
D:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
D:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
D:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\Acer\Empowering Technology\ePower\ePower_DMC.exe
D:\Programme\Intel\WiFi\bin\ZCfgSvc.exe
D:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\COMODO\SafeSurf\cssurf.exe
D:\WINDOWS\system32\wbem\unsecapp.exe
D:\Programme\COMODO\Firewall\cfp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
D:\Programme\hjt\HijackThis.exe
D:\DOKUME~1\**\LOKALE~1\Temp\RtkBtMnt.exe
D:\Programme\iPod\bin\iPodService.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {420959A7-1B3F-49EE-848E-6DE631A39223} - D:\WINDOWS\system32\khfCvUnO.dll
O2 - BHO: (no name) - {4A27C36A-0537-4806-B2DD-6677EE1E32A5} - D:\WINDOWS\system32\efcBqpmL.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: {5ba7d3c3-19ef-1da8-3204-39864ef9c7a8} - {8a7c9fe4-6893-4023-8ad1-fe913c3d7ab5} - D:\WINDOWS\system32\zipwmh.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - D:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - D:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPStart] D:\Programme\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [ISUSPM] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [LManager] D:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [IAAnotif] D:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ePower_DMC] D:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] D:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "D:\Programme\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "D:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [f0e395bd] rundll32.exe "D:\WINDOWS\system32\vfwmfqqm.dll",b
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO SafeSurf] "D:\Programme\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Firewall Pro] "D:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Player] D:\Dokumente und Einstellungen\**\Anwendungsdaten\Adobe\Player.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: zipwmh.dll D:\WINDOWS\system32\guard32.dll D:\WINDOWS\system32\cssdll32.dll
O20 - Winlogon Notify: khfCvUnO - D:\WINDOWS\SYSTEM32\khfCvUnO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - D:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - D:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - D:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - D:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - D:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - D:\Programme\Intel\WiFi\bin\S24EvMon.exe

--
End of file - 9544 bytes
Bitte um Hilfe, wie ich diesen verdammten Trojaner entfernen kann, nervt echt!!

lg Marko

Chris4You 22.10.2008 10:38
Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
D:\WINDOWS\SYSTEM32\khfCvUnO.dll
D:\WINDOWS\system32\vfwmfqqm.dll
D:\WINDOWS\system32\zipwmh.dll
D:\WINDOWS\system32\efcBqpmL.dll
D:\WINDOWS\system32\khfCvUnO.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Falls alle Files erkannt wurden, dann hier weitermachen!
(Sonst nicht erkannt Files rausnehmen);
Wir haben (wahrscheinlich) ein Problem, und zwar damit:
Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Falls die Datei "zipwmh.dll" erkannt wurde, müssen wir den AppIni-Eintrag
entfernnen, damit fallen aber auch reguläre Dateien weg...
Oder Windows meldet Dir einen Fehler (wenn wir Ihn stehen lassen)...
Da raus damit und nachinstallieren wenn was fehlen sollte!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfCvUnO

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|f0e395bd
 
Files to delete:
D:\WINDOWS\SYSTEM32\khfCvUnO.dll
D:\WINDOWS\system32\vfwmfqqm.dll
D:\WINDOWS\system32\zipwmh.dll
D:\WINDOWS\system32\efcBqpmL.dll
D:\WINDOWS\system32\khfCvUnO.dll
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
O2 - BHO: (no name) - {420959A7-1B3F-49EE-848E-6DE631A39223} - D:\WINDOWS\system32\khfCvUnO.dll
O2 - BHO: (no name) - {4A27C36A-0537-4806-B2DD-6677EE1E32A5} - D:\WINDOWS\system32\efcBqpmL.dll
O2 - BHO: {5ba7d3c3-19ef-1da8-3204-39864ef9c7a8} - {8a7c9fe4-6893-4023-8ad1-fe913c3d7ab5} - D:\WINDOWS\system32\zipwmh.dll
Malwarebytes Antimalware.
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles Beseitigen lasse, Log und neues HJ-Log posten...

Chris

MarkoM 22.10.2008 13:28
bin auf VirusTotal gegangen und wollte die Dateien hochladen, jedoch sind diese nicht mehr auf meinem Computer, ich finde sie nicht! :/

andere Vorschläge?

hab grad eine Log Datei von AntiMalware erstellt:

Code:
Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1305
Windows 5.1.2600 Service Pack 3

22.10.2008 11:54:56
mbam-log-2008-10-22 (11-54-56).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 113966
Laufzeit: 41 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 15
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 29

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
D:\WINDOWS\system32\efcBqpmL.dll (Trojan.Vundo.H) -> Delete on reboot.
D:\WINDOWS\system32\vfwmfqqm.dll (Trojan.Vundo.H) -> Delete on reboot.
D:\WINDOWS\system32\zipwmh.dll (Trojan.Vundo) -> Delete on reboot.
D:\WINDOWS\system32\khfCvUnO.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{420959a7-1b3f-49ee-848e-6de631a39223} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfcvuno (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{420959a7-1b3f-49ee-848e-6de631a39223} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4a27c36a-0537-4806-b2dd-6677ee1e32a5} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{4a27c36a-0537-4806-b2dd-6677ee1e32a5} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8a7c9fe4-6893-4023-8ad1-fe913c3d7ab5} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8a7c9fe4-6893-4023-8ad1-fe913c3d7ab5} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\TotalSecure2009 (Rogue.TotalSecure) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\f0e395bd (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{420959a7-1b3f-49ee-848e-6de631a39223} (Trojan.Vundo) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: d:\windows\system32\efcbqpml -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: d:\windows\system32\efcbqpml  -> Delete on reboot.

Infizierte Verzeichnisse:
D:\Programme\TS-2009 (Rogue.TotalSecure) -> Quarantined and deleted successfully.

Infizierte Dateien:
D:\WINDOWS\system32\khfCvUnO.dll (Trojan.Vundo.H) -> Delete on reboot.
D:\WINDOWS\system32\efcBqpmL.dll (Trojan.Vundo.H) -> Delete on reboot.
D:\WINDOWS\system32\LmpqBcfe.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\LmpqBcfe.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\zipwmh.dll (Trojan.Vundo.H) -> Delete on reboot.
D:\WINDOWS\system32\vfwmfqqm.dll (Trojan.Vundo.H) -> Delete on reboot.
D:\WINDOWS\system32\mqqfmwfv.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Marko\Lokale Einstellungen\Temporary Internet Files\Content.IE5\456F09AZ\CA7UW7FD (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Marko\Lokale Einstellungen\Temporary Internet Files\Content.IE5\456F09AZ\kb20010911[1] (Trojan.LowZones) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Marko\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDKP2385\upd105320[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\Marko\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YNIRALYN\nd82m0[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{FE4A1D0F-D333-42E1-B4DC-1B6F3EC22EAB}\RP119\A0008242.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{FE4A1D0F-D333-42E1-B4DC-1B6F3EC22EAB}\RP120\A0008275.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{FE4A1D0F-D333-42E1-B4DC-1B6F3EC22EAB}\RP120\A0008274.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{FE4A1D0F-D333-42E1-B4DC-1B6F3EC22EAB}\RP120\A0008276.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{FE4A1D0F-D333-42E1-B4DC-1B6F3EC22EAB}\RP120\A0008298.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{FE4A1D0F-D333-42E1-B4DC-1B6F3EC22EAB}\RP120\A0008299.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{FE4A1D0F-D333-42E1-B4DC-1B6F3EC22EAB}\RP120\A0008302.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\iskohyno.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\jkkIBRKE.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\eucdssar.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
D:\WINDOWS\Temp\nsc64.tmp\blowfish_d.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\WINDOWS\Temp\nsl5D.tmp\blowfish_d.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\Programme\TS-2009\scan.exe (Rogue.TotalSecure) -> Quarantined and deleted successfully.
D:\Programme\TS-2009\totalsecure.s2 (Rogue.TotalSecure) -> Quarantined and deleted successfully.
D:\Programme\TS-2009\totalsecure.s3 (Rogue.TotalSecure) -> Quarantined and deleted successfully.
D:\WINDOWS\k.txt (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\WINDOWS\Temp\pwrmgr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\WINDOWS\Temp\sft_ver1.1454.0.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

EDIT:

so wie es aussieht (lasse gerade nochmal Malware Programm durchlaufen), sind die Trojaner weg! Habe sie in Quarantäne gesetzt und gelöscht, das System läuft wieder ordnungsgemäß!

Danke für die Hilfe!!

Chris4You 22.10.2008 13:52
Hi,

tja, MAM hat sie gefunden und eliminiert.

Da neben dem "Fake" auch ein paar echte Trojaner untewegs waren:

Später müssen wir dann noch die Systemwiederherstellung aufräumen...

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131