Trojaner vundo Befall: firefox zeigt nur weiße Seite an + weitere Trojaner
 

Hallo,
ich bin neu hier und habe ein Problem:
Firefox wird nie fertig mit dem Laden der Seite, Fund: Trojaner Vundo.

Folgendes habe ich versucht:
1.) Habe nach etwas zu langer Zeit einen Antivir Systemcheck durchgeführt:
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5QN4PA7\v5_apc[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Piker.acr
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5QN4PA7\v5_apc[2].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Piker.acr
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temp\plugtmp-13\plugin-webThosePiece.swf
[FUND] Enthält Erkennungsmuster des Exploits EXP/SWF.lbp
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5QN4PA7\eH75e0280cV03006f35002R1ebbed88102T3ea4e21cQ000002c0901807F0020000aJ07000601l0007316P000001070[1]
[FUND] Ist das Trojanische Pferd TR/FraudPack.ajto
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP8RSBCV\eH8abb45deV03006f35002Ra17be677102Tc1f97761Q000002c0901807F0020000aJ07000601l0007316P000001070[1]
[FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.gik
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\e115f97-4a3fedc7
[0] Archivtyp: ZIP
--> myf/y/PayloadX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.AD

2.) Habe alles in Quarantäne geschoben. Danach hatte ich 2 Tage keine Probleme.

3.) und dann: Symptom: Firefox lädt die Seiten nie zu Ende, bzw. irgendwann steht dort „fertig“ aber die Seite bleibt weiß. Automatische Updates z.B. Antivir kann ich aber downloaden, aber eben keine Seiten aufrufen.

4.) bei mozilla support habe ich mich informiert, die Windows und Zone Alarm Firewall konfiguriert = keine Veränderung

5.) Habe das Windows malicious removal tool benutzt = keine Veränderung

6.) Antivir: vollständiger Systemcheck = 2 Funde
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP8RSBCV\eHffdafd77V03007f35002R8f1cdcd6102Tb4976daaQ000002c0901807F0020000aJ07000601l0007316P000001070[1]
[FUND] Ist das Trojanische Pferd TR/Dldr.FakeAlert.EH
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\e115f97-4e4dae11
[0] Archivtyp: ZIP
--> myf/y/PayloadX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.AD

7.) Auch diese habe ich in Quarantäne verschoben

8.) Habe SuperAntiSpyWare installiert und es wurde der Vundo Trojaner (10 identifizierte Dateien) und der Dropper Userinit.exe Fake-Alert gefunden: Leider habe ich die Quarantäne panisch gelöscht…verdammt, kann mir jetzt überhaupt noch geholfen werden?
Hier habe ich glaube ich die erste Hijack-Datei erstellt.

9.) Habe die Antleitung „How to Remove WinFixer / Virtumonde / Msevents / Trojan.vundo“ von w**.BleepingComputer.com, die ich hier im Forum gefunden habe mit Malwarebytes' Anti-Malware und VundoFix durchgearbeitet. Ergebnis in der zip-Datei.

10.) Vundofix hat nix gefunden, aber Firefox funktioniert immer noch nicht!

11.) Habe SuperAntiSpyware nochmal einen vollständigen Systemcheck machen lassen: es wurde nichts gefunden!

12.) aber während des Durchlaufens fand Antivir den Trojaner TR/Trash.Gen, er wurde in Quarantäne verschoben und tauchte bei SuperAntiSpyware nicht im Ergebnis auf!

13.) Dann habe ich antivir nochmal durchlaufen lasse und es wurde nichts gefunden.

14.) Habe das Programm VLC Player und Google Earth entfernt.

15.) Habe den CCcleaner mehrmals durchgeführt

16.) Malwarebytes habe ich auch nochmal durchlaufen lassen: es wurde nichts gefunden.

17.) Ergebnis: Firefox funktioniert immer noch nicht und ich weiß nicht mehr weiter! Habe von heute auch noch eine aktuelle Hijack-Datei erstellt.

Ich hoffe mir kann jemand helfen, ich bin leider zur Zeit extrem auf den Laptop und ein funktionierendes Internet angewiesen!

Guten Abend,

bei all den Malwarefünden macht es kein Sinn, dein System bereinigen zu wollen.
Du solltest formatieren und neuaufsetzen, damit dein System wieder "online tauglich" wird.
http://www.trojaner-board.de/75622-d...ittierung.html

Anleitunglinks Neuaufsetzen oben im Forum.


lg.

hier ist der Link mit den hijack, log, info, mbam Dateien:
h**p://www.file-upload.net/download-2201902/Datei-f-r-trojanerboard.zip.html

Ich hoffe, ich habe es richtig gemacht!

@Malwarehero:
Ich hatte gehofft, dass ich nicht neu aufsetzen muss, da ich das noch nie gemacht habe...

Gibt es vielleicht noch eine andere Möglichkeit!?

> Auf diesem Rechner kannst du kein Online Banking/Online Geschäfte durchführen, bis er durch ein Formatieren und Neuaufsetzen wieder vertrauenswürdig ist.

> Malware ist heutzutage so agressiv und ausgefeilt, dass es sich nur durch ein Formatieren der Festplatten mit 99% Sicherheit entfernen läst.

> Hier eine "Schritt für Schritt Anleitung" zum Neuaufsetzen:
http://www.trojaner-board.de/51262-a...sicherung.html

Das schaffst du. ;)

lg.

Wie wäre es wenn du nicht immer sagst das man formatieren muss?
Vorallem in diesen Fall hat der User kaum Informationen geschrieben und die gefunden Viren sind nicht grad die Viren die am schwersten sind zu entfernen, solange der TE nicht mit hoch sensiblen Daten handelt könntest du es wenigsten probieren den Trojaner zuentfernen.

Also, auf dem Rechner mache ich grundsätzlich kein Online-Banking und auf Online-Geschäfte werde ich vorerst verzichten, bzw. einen andere Rechner benutzen.
Das Internet brauche ich nur für die Uni-Recherche, email checken etc.!
Wenn es möglich wäre, würde ich den Befall möglichst ohne Neuaufsetzung lösen wollen, da ich evt. nicht alle notwendigen CD's dafür habe..

Ich habe nicht genug Informationen bereitgestellt?? Welche fehlen denn noch, reichen die Hijack/log files nicht??

ok, ich hab noch mal geguckt: hier noch der Eintrag mit dem vundo Trojaner, den SuperAntiSpyware gefunden hat:

SUPERAntiSpyware Scan Log
http://w**.superantispyware.com

Generated 01/18/2010 at 10:27 PM

Application Version : 4.33.1000

Core Rules Database Version : 4489
Trace Rules Database Version: 2304

Scan type : Complete Scan
Total Scan Time : 00:52:41

Memory items scanned : 484
Memory threats detected : 0
Registry items scanned : 5498
Registry threats detected : 9
File items scanned : 24670
File threats detected : 28

Adware.Vundo/Variant
HKLM\Software\Classes\CLSID\{D032570A-5F63-4812-A094-87D007C23012}
HKCR\CLSID\{D032570A-5F63-4812-A094-87D007C23012}
HKCR\CLSID\{D032570A-5F63-4812-A094-87D007C23012}\InprocServer32
HKCR\CLSID\{D032570A-5F63-4812-A094-87D007C23012}\InprocServer32#ThreadingModel
HKCR\CLSID\{D032570A-5F63-4812-A094-87D007C23012}\ProgID
HKCR\IEBHO.TIEAdvBHO
C:\WINDOWS\SYSTEM32\IEBHO.DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D032570A-5F63-4812-A094-87D007C23012}
HKU\S-1-5-21-4224585934-3412285428-4277753277-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D032570A-5F63-4812-A094-87D007C23012}
HKCR\CLSID\{D032570A-5F63-4812-A094-87D007C23012}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\**\Cookies\**@adrevolver[2].txt
C:\Dokumente und Einstellungen\**\Cookies\**@apmebf[1].txt
C:\Dokumente und Einstellungen\**\Cookies\**@komtrack[1].txt
C:\Dokumente und Einstellungen\**\Cookies\**@s.as-eu.falkag[1].txt
C:\Dokumente und Einstellungen\**\Cookies\**@hitbox[1].txt
C:\Dokumente und Einstellungen\**\Cookies\**@xiti[1].txt
C:\Dokumente und Einstellungen\**\Cookies\**@1068632757[1].txt
C:\Dokumente und Einstellungen\**\Cookies\**@ads.mediaturf[1].txt
C:\Dokumente und Einstellungen\**\Cookies**@data.coremetrics[1].txt
C:\Dokumente und Einstellungen\**\Cookies\**@sel.as-eu.falkag[1].txt
C:\Dokumente und Einstellungen\**Cookies**@hmt.connexpromotions[2].txt
C:\Dokumente und Einstellungen\**\Cookies\**@as-eu.falkag[2].txt
C:\Dokumente und Einstellungen\**\Cookies\**@adrevolver[1].txt
C:\Dokumente und Einstellungen\**\Cookies\**@burstnet[2].txt
C:\Dokumente und Einstellungen\**\Cookies\**@tradedoubler[1].txt
C:\Dokumente und Einstellungen\**\Cookies\**@ehg-euromonitor.hitbox[1].txt
C:\Dokumente und Einstellungen\**\Cookies/**@media.adrevolver[2].txt
C:\Dokumente und Einstellungen\**\Cookies\**@tacoda[1].txt
C:\Dokumente und Einstellungen\**\Cookies\**@mediaplex[1].txt
C:\Dokumente und Einstellungen\**\Cookies\**@weborama[2].txt
C:\Dokumente und Einstellungen\**\Cookies\**@business[1].txt
C:\Dokumente und Einstellungen\**\Cookies\**@atdmt[2].txt
C:\Dokumente und Einstellungen\**\Cookies\**@microsofteup.112.2o7[1].txt
C:\Dokumente und Einstellungen\**\Cookies\**@serving-sys[2].txt
C:\Dokumente und Einstellungen\**\Cookies\**@advertising[1].txt

Trojan.Dropper/UserInit-Fake
C:\WINDOWS\SYSTEM32\USERINIT.EXE
C:\WINDOWS\Prefetch\USERINIT.EXE-30B18140.pf
-----------------------

Jetzt quietscht (als wenn eine Taste festklemmt) mein blöder Laptop auch noch beim Hochfahren und es dauert bis er mit dem Hochfahren beginnt. Hat das was mit den Trojanern zu tun? Kann ich bald auch nicht mehr offline arbeiten?