|
Trojaner TR/Vundo.Gen macht mir zu schaffen. Hallo, Ich habe ein Problem mit einem Trojaner,namens TR/Vundo.Gen(Siehe Titel). Ich bin benutzer von Windows XP Home Edition und habe an Sicherheitsschutz,das AntiVir Personal Edition Classic installiert.Dieses,bringe ich regelmäßig auf den neusten stand. So,nun zum eigentlichen Problem:Meine Datei im system32 Ordner,namens mljgg.dll ist mit einem Trojaner(Name siehe oben),infiziert.Manche anderen dDateien auch,aber es geht hier ja darum,wie man sie los wird. Immer wenn ich bei dem Startbildschirm auf mein Benutzerkonto klicke,läd alles ohne Probleme,aber auf dem Desktop angekommen,bekomme ich NACHEINANDER(!),mindestens 15 Meldungen,dass dieser eine Trojaner gefunden wurde!Irgendwann,komkmen sie nicht mehr,und ich kann normal weiterarbeiten. Ich habe mir Infos über diesen Trojaner durschgeschaut,dass Schadenspotiential ist zwar niedrig,ich will ihn aber trozdem loswerden!! Nun meine Bitte,Helft mir bitte ihn zu :snyper:..Danke. |
Hallo. Führe mal Vundofix aus: * Lade dir vundofix.exePoste auch ein Hijackthis-Logfile. Dann sehen wir weiter. |
So,Das Programm,hab ich noch nicht geladen,aber ich poste mal die HiJackThis logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:03:46, on 28.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Macrogaming\SweetIM\SweetIM.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\WebCam\M1000\M1000Mnt.exe C:\Programme\Hotbar\bin\10.0.368.0\OEAddOn.exe C:\Programme\Hotbar\bin\10.0.368.0\HotbarSA.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Hotbar\bin\10.0.368.0\Weather.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe C:\DOKUME~1\MANUEL~1\LOKALE~1\Temp\jre-6u3-windows-i586-p-iftw_2cd32978.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\System32\msiexec.exe C:\WINDOWS\System32\MsiExec.exe C:\Programme\Hotbar\bin\10.0.368.0\Srv.exe C:\Dokumente und Einstellungen\Manuel Anti-Virus\Eigene Dateien\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://GLOBAL.ACER.COM/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Hotbar /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B9499803B2A2303766A - {07AA283A-43D7-4CBE-A064-32A21112D94D} - C:\Programme\Hotbar\bin\10.0.368.0\HostIE.dll O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: (no name) - {51F2CD02-D08F-42FF-ABFE-4CF1C66EECCD} - C:\WINDOWS\system32\mljgg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {8B11056F-6A1D-4618-8F17-49D83A23111E} - C:\WINDOWS\system32\jkklm.dll (file missing) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Little Fighter 2 Toolbar Helper - {AB41010D-4804-4793-A6A2-3B5EBE2348DD} - C:\Programme\Little Fighter 2 Toolbar\v2.0.0.1\Little_Fighter_2_Toolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O2 - BHO: {35dcf1c4-ee97-c7db-4384-be389a37960d} - {d06973a9-83eb-4834-bd7c-79ee4c1fcd53} - C:\WINDOWS\system32\rsrtwcfw.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O3 - Toolbar: Little Fighter 2 Toolbar - {C11483F7-D7D8-4804-98D8-6055470BB989} - C:\Programme\Little Fighter 2 Toolbar\v2.0.0.1\Little_Fighter_2_Toolbar.dll O3 - Toolbar: Hotbar - {07AA283A-43D7-4CBE-A064-32A21112D94D} - C:\Programme\Hotbar\bin\10.0.368.0\HostIE.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [8cdedfaf] rundll32.exe "C:\WINDOWS\system32\mwdktajt.dll",b O4 - HKLM\..\Run: [HotbarOE] C:\Programme\Hotbar\bin\10.0.368.0\OEAddOn.exe O4 - HKLM\..\Run: [HotbarSA] "C:\Programme\Hotbar\bin\10.0.368.0\HotbarSA.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [WeatherDPA] "C:\Programme\Hotbar\bin\10.0.368.0\Weather.exe" -auto O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/ O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab O20 - Winlogon Notify: awtqo - C:\WINDOWS\ O20 - Winlogon Notify: awtsr - C:\WINDOWS\ O20 - Winlogon Notify: awvvt - C:\WINDOWS\ O20 - Winlogon Notify: ddcyw - C:\WINDOWS\ O20 - Winlogon Notify: jkhfe - C:\WINDOWS\ O20 - Winlogon Notify: jkklm - C:\WINDOWS\ O20 - Winlogon Notify: mljkjjh - C:\WINDOWS\SYSTEM32\mljkjjh.dll O20 - Winlogon Notify: pmnnl - C:\WINDOWS\ O20 - Winlogon Notify: vtstr - C:\WINDOWS\ O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe -- End of file - 9818 bytes Das Programm,lad ich gerade herunter! |
So,Programm heruntergeladen,alles gemacht,was da stand,hat aber nicht geklappt.Der Trojaner,ist nach wie vor auf meinem System....:schrei: |
Meine Güte, dein System ist aber zugemüllt! :balla: Code: C:\WINDOWS\system32\mljgg.dll |
Hier das ergebnis der mljgg.dll Datei(Die anderen,überprüfe ich nach und nach): Datei mljgg.dll empfangen 2007.10.28 21:19:40 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 10/31 (32.26%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 43 und 62 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.27.0 2007.10.26 - AntiVir 7.6.0.30 2007.10.26 TR/Vundo.Gen Authentium 4.93.8 2007.10.28 - Avast 4.7.1074.0 2007.10.28 - AVG 7.5.0.503 2007.10.28 Lop BitDefender 7.2 2007.10.28 Adware.Virtumonde.GGX CAT-QuickHeal 9.00 2007.10.26 - ClamAV 0.91.2 2007.10.28 - DrWeb 4.44.0.09170 2007.10.28 - eSafe 7.0.15.0 2007.10.28 - eTrust-Vet 31.2.5244 2007.10.26 - Ewido 4.0 2007.10.28 - FileAdvisor 1 2007.10.28 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.3.2.48 2007.10.26 - F-Secure 6.70.13030.0 2007.10.28 Vundo.gen41 Ikarus T3.1.1.12 2007.10.28 AdWare.Virtumonde.GGX Kaspersky 7.0.0.125 2007.10.28 - McAfee 5150 2007.10.26 - Microsoft 1.2908 2007.10.28 Trojan:Win32/Vundo.K NOD32v2 2621 2007.10.28 - Norman 5.80.02 2007.10.26 Vundo.gen41 Panda 9.0.0.4 2007.10.28 Suspicious file Prevx1 V2 2007.10.28 Trojan.Vundo Rising 19.46.61.00 2007.10.28 - Sophos 4.23.0 2007.10.28 Troj/Virtum-Gen Sunbelt 2.2.907.0 2007.10.27 - Symantec 10 2007.10.28 - TheHacker 6.2.9.110 2007.10.27 - VBA32 3.12.2.4 2007.10.28 - VirusBuster 4.3.26:9 2007.10.28 - weitere Informationen File size: 318560 bytes MD5: b30ea12e44046e13135cb3e770d603ba SHA1: 01a63b8f96fb6b6142826a6163a39b6b761ede72 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=6D1EC201608DBD50DCE804B9392001001910A5C0 |
Dei andeen dateien,sindi-wie nicht im system32 ordner :S |
Aha, das ist ein weiterer Vundo-Bestandteil. Die anderen Dateien wurden wohl schon vom Vundofix entfernt. Nebenbei sind auch Ad-/Spywarekomponenten von Hotbar zu erkennen. Probier mal die über Systemsteuerung, Software zu löschen. Sollte das nicht klappen, müssen wir den Ordner manuell löschen. Ungelöschte Reste davon uvm. lassen sich evtl. mit Spybot entfernen. Die eine ausgewertete Datei sollte aber schon mal gelöscht werden, geh dazu so vor: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code: files to delete:4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt Datei. Acker danach mal diese Anleitung ab. Wenn du im abgesicherten Modus das System mit eScan scannen lässt, kannst du auch am besten noch davor mit Hijackthis diese Einträge fixen: Code: O2 - BHO: Hotbar /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B9499 803B2A2303766A - {07AA283A-43D7-4CBE-A064-32A21112D94D} - C:\Programme\Hotbar\bin\10.0.368.0\HostIE.dll |
////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Error: selected file does not appear to be a valid script. Error code: 998 ////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\aqqiwotx ******************* Script file located at: \??\C:\WINDOWS\uuitrrym.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\mljgg.dll deleted successfully. Completed script processing. ******************* Finished! Terminate. |
Der Virus ist..naja das ist jezt schlimm...ER IS TOT Y:P:P!!! DANKE!!!!:party: |
Das hört sich doch schon mal besser an. Poste aber zur Kontrolle noch das neue Hijackthis-Logfile sowie das von escan/MWAV. Falls noch weitere "krumme" Dateien im System sind, die auch mit escan/MWAV nicht aufgespürt werden konnten, können wir die evtl. mit einem filelisting aufspüren: - dieses Script abspeichern per Rechtsklick, speichern unter auf dem DesktopDiese listing.txt z.B. bei rapidshare hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:17 Uhr. |
Copyright ©2000-2024, Trojaner-Board