Trojanische Pferd TR/Vundo.Gen

#16 Hallo!

habe eben nochmal bissl meine logs durchgeguckt. hab in der log vom resident vom Spybot SD ein paar einträge gefunden, die mich stutzig machen. Auch hab ich mal meinen IE gestartet, ohne internetverbindung und der wollte mich auch ein komische startseite, die ich nie eingerichtet habe lenken. Hab also bestimmt noch was aufm rechner. kann man da noch was gegen tun oder system neuaufsetzen???




Log vom Spybot SD - Resident:

2008-02-18 16:32:42 Erlaubt (based on user decision) value "fsc-reg" (new data: "C:\ProgramData\fsc-reg\fscreg.exe 20080218") geändert in System Startup user entry!
2008-02-18 16:32:47 Erlaubt (based on user decision) value "Search Page" (new data: "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch") geändert in Browser page!
2008-02-18 16:32:52 Erlaubt (based on user decision) value "SearchAssistant" (new data: "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm") hinzugefügt in Browser page!
2008-02-18 16:32:55 Erlaubt (based on user decision) value "CustomizeSearch" (new data: "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm") hinzugefügt in Browser page!
2008-02-18 16:32:57 Erlaubt (based on user decision) value "load" (new data: "") gelöscht in NT startup!
2008-02-18 16:33:02 Erlaubt (based on user decision) value "Shell" (new data: "Explorer.exe") geändert in Winlogon!
2008-02-18 16:33:05 Erlaubt (based on user decision) value "scrnsave.exe" (new data: "") gelöscht in Desktop settings!
20.02.2008 18:56:41 Erlaubt (based on user decision) value "Tunebite" (new data: "") gelöscht in System Startup user entry!
20.02.2008 18:57:01 Erlaubt (based on user decision) value "DAEMON Tools Lite" (new data: "") gelöscht in System Startup user entry!



Was mich beunruhigt sind die eingriffe auf die IE-einstellungen und auf die Explorer.exe

Hoffe ihr könnt mir weiterhelfen...
Danke für eure Hilfe, mfg Tofi

#17 MrTofi

Zitat

Ich bekomme allerdings nach der Anmeldung im Benutzerkonto (in dem die Infektion passiert ist) immer 2 kleine Fenster, Überschrift "RunDLL", in denen steht, dass 2 .dll Dateien nicht gefunden werden konnten. Die Namen entsprechen denen, die mir Antivir damals als Virus/Trojanisches Pferd gemeldet hatte.
Heißt das, dass immer noch Teile vom Virus auf dem Rechner sind oder nur noch der Task im Autostart o.ä. aber die eigentlichen Virus-Dateien erfolgreichen gelöscht wurden?

Allerdings hab ich jetzt was anderes komisches beobachtet:
Beim Videogucken sind Videos, die früher normal dargestellt wurden jetzt in Falschfarben dargestellt und es springt "ffdshow" oder so ähnlich an. Ich habe das nicht wissentlich installiert. Kommt das von dem Virus oder evtl durch ein Programm wie tunebites o.ä.? Und wie werd ich das wieder los?

poste bitte noch mal das neue Log von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#18 Hallo!

War mir doch sicherer den Rechner neu aufzusetzen. geht ja heutzutage recht schnell.

Ich danke aber für deine/eure Hilfe, schön, dass es nicht nur böse Leute im Internet gibt^^

Hoffe, dass ich hier jetzt nicht mehr wegen eines Problems posten muss, wünsche aber weiterhin viel Erfolg im Kampf gegen die Malware.

Mfg Tofi