Trojaner gefunden: Click.MNB, Vundo.AU & Fotomoto.1.F |
||
---|---|---|
#0
| ||
03.12.2007, 13:07
Member
Beiträge: 36 |
||
|
||
03.12.2007, 13:53
Member
Themenstarter Beiträge: 36 |
#2
ComboFix:
Zitat ComboFix 07-12-02.6 - Peter *** 2007-12-03 13:14:39.1 - NTFSx86 |
|
|
||
03.12.2007, 14:47
Member
Themenstarter Beiträge: 36 |
#3
und hier unsere BAT:
Zitat Verzeichnis von C:\Windows\system32 |
|
|
||
03.12.2007, 16:38
Ehrenmitglied
Beiträge: 6028 |
#4
Entferne auf C:\ Qoobox-->Papierkorb leeren
OTMoveIt.exe Download OTMoveIt zum Desktop Oeffne:OTMoveIt.exe Kopiere (selektiere en klick Ctrl-C) alle unterstehende C:\Windows\System32\iexhnyqm.dll Klicke auf den Roten MoveIt! knopf Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit In Datei C:\_OTMoveIt\MovedFiles\ Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Entferne Hijack This 1.99.1 und........ Erstellen eines Hijackthis-Logfiles Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin Download: HijackThis202 Doppelklick HijackThis.exe und installiere das Tool in C:\Programme Am Ende steht auf dein Desktop eine verknüpfung Starte Hijack This und klicke “Do a system scan and safe a logfile” Save log --> hijackthis.log - Save - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Argus |
|
|
||
03.12.2007, 19:03
Member
Themenstarter Beiträge: 36 |
#5
Hallo, danke mal für den ersten Step...
Qoobox wurde entfernt und der Papierkorb ausgelehrt. MoveIT: Zitat DllUnregisterServer procedure not found in C:\Windows\System32\iexhnyqm.dllund hier vom HijackThis: Zitat Logfile of Trend Micro HijackThis v2.0.2Lg Peterus PS: Komischerweise hab ich schon seit längeren keine Fehlermeldung mehr vom AntiVir bekommen.... |
|
|
||
03.12.2007, 19:16
Ehrenmitglied
Beiträge: 6028 |
#6
Entferne auf C:\ _OTMoveIt\ -->Papierkorb leeren
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: {5bb54afa-eb4d-de79-fc14-b7473afcec6d} - {d6cecfa3-747b-41cf-97ed-d4beafa45bb5} - C:\Windows\system32\iexhnyqm.dll (file missing) O20 - Winlogon Notify: urqnllk - urqnllk.dll (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Wenn das mit den Fixen in Hijack This nicht gelingt,vorher .... De-aktiviere Windows Defender - Start Windows Defender. - Klick Tools - Klick General Settings - Scroll nach Real-time protection options - Entferne das häckchen bei Turn on Real-time protection (recommended) - Klick Save Fuehre eine Systemwiederherstellung durch Edit CombiFix entfernen Start > Ausführen>Kopiere rein Combofix /u OK __________ MfG Argus |
|
|
||
03.12.2007, 21:33
Member
Themenstarter Beiträge: 36 |
#7
Hallo nochmal...
Muss ich die Systemwiederherstellung auch machen wenn HijackThis erfolgreich war? Meinst du damit das ich mein System wiederherstellen soll oder mein jetziges System speichern soll? Lg Peter |
|
|
||
03.12.2007, 21:40
Ehrenmitglied
Beiträge: 6028 |
#8
Ich kenne Vista nicht,normaler weisse muss man die Systemwiederherstellung durchfuehren
Denn wenn man in ein par Wochen ein Problem hat und zurueck geht in die/der Zeit nach Heute ist die Infektion auch wieder da __________ MfG Argus |
|
|
||
03.12.2007, 21:46
Member
Themenstarter Beiträge: 36 |
#9
Also ich hab jetzt mal einen Wiederherstellungspunkt gemacht.
Passt das so? was sagt der Profi? Ich denke mal das alles passt... hab die Daten die in der Quarantäne waren gelöscht und hab dann in den Ordner reingeschaut wo sie eigentlich sein sollten, und da war nichts mehr... Lg Peter |
|
|
||
03.12.2007, 21:53
Ehrenmitglied
Beiträge: 6028 |
||
|
||
03.12.2007, 21:57
Member
Themenstarter Beiträge: 36 |
#11
Dankeschön, ich seit echt klasse
PS: Und wiedermal was dazugelernt: ich werde mir jetzt wirklich meine Benützer nur mehr auf Gast oder sowas ähnliches runterfahren. Lg Peter |
|
|
||
Hab 3 Trojaner auf meinem System:
Click.MNB
Vundo.AU
Fotomoto.F.1
Mein Antivirus meldet diese die ganze Zeit und mein Internet wird auch langsamer.
Wenn ich die Trojaner löschen möchte dann geht das zwar, aber nach 5 min. kommt wieder die Meldung.
Den Trojaner Click.MNB hat er unter gefunden:
"C:\Users\***\AppData\Loc...\poiu[1]"
"C:\Users\***\AppData...\huxrtirr.exe"
"C:\Users\***\AppData...\ayuhilby.exe"
Den Trojaner Vundo.AU hat er unter gefunden:
"C:\Users\***\AppData\Loc...\hctp[1]"
"C:\Users\***\AppData...\bsserbox.dll"
"C:\Users\***\AppData...\junymkysw.dll"
"C:\Users\***\AppData...\sfdtbclh.dll"
Den Trojaner Fotomoto.F.1 hat er unter gefunden:
"C:\Users\***\AppData...\pochki20071106[1]"
"C:\Users\***\AppData...\sifdjnia.exe"
"C:\Users\***\AppData...\xcnqtmod.exe"
"C:\Users\***\AppData...\nulhynjd.exe"
Die Daten sind derzeit in Quarantäne. Hab das HijackThis Logfile ausgewärtet auf http://www.hijackthis.de/de ist aber nichts rausgekommen ich schreibs aber trozdem nochmal unten hin.
Der Rest kommt gleich
Lg Peter
PS:WinVista
HjickThis:
Zitat