3TR/Vundo.gen und keinen Plan wie ich den lösche.... |
||
---|---|---|
#0
| ||
17.03.2008, 18:11
...neu hier
Beiträge: 5 |
||
|
||
17.03.2008, 19:46
Ehrenmitglied
Beiträge: 6028 |
#2
Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen Malwarebytes Anti-Malware Download MBAM zum Desktop Doppelklick mbam-setup und waehle Deutsch,das Program wird jetzt ge-updatet Waehle bei Reiter “Scanner”> "Komplett Scan durchfuehren" . Waehle alle Laufwerke >Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Erstellen eines Hijackthis-Logfiles Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin Download: HijackThis202 Doppelklick HijackThis.exe und installiere das Tool in C:\Programme Am Ende steht auf dein Desktop eine verknüpfung Starte Hijack This und klicke “Do a system scan and safe a logfile” Save log --> hijackthis.log - Save - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Argus |
|
|
||
17.03.2008, 20:35
...neu hier
Themenstarter Beiträge: 5 |
#3
Also, das Problem besteht weiterhin, ich erreiche bei laufendem explorer localhost immernoch nihct.
Hier der log von MBAM: Zitat Malwarebytes' Anti-Malware 1.08Hier der log von HJT: Zitat Logfile of Trend Micro HijackThis v2.0.2Offenbar wurde noch mehr gefunden. |
|
|
||
17.03.2008, 20:49
Ehrenmitglied
Beiträge: 6028 |
#4
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: {fa6735e3-9ef2-2c78-8934-32f2625d14c4} - {4c41d526-2f23-4398-87c2-2fe93e5376af} - C:\WINDOWS\system32\vvrbejfh.dll O4 - HKLM\..\Run: [BM1b176a14] Rundll32.exe "C:\WINDOWS\system32\dkdihnqh.dll",s klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst OTMoveIt.exe Download OTMoveIt2 zum Desktop Oeffne:OTMoveIt.exe Kopiere (selektiere en klick Ctrl-C) alle unterstehende C:\WINDOWS\system32\vvrbejfh.dll C:\WINDOWS\system32\dkdihnqh.dll" im linken Fenster,wo steht "Paste List of Files/Folders to be moved" Klicke auf den Roten MoveIt! knopf Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit In Datei C:\_OTMoveIt\MovedFiles\ Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" ComboFix Download ComboFix und speichert es auf den Desktop! Alle Fenster schliessen und combofix.exe starten Folge den Instruktionen in das Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein __________ MfG Argus |
|
|
||
17.03.2008, 21:21
...neu hier
Themenstarter Beiträge: 5 |
#5
Gute Nachrichten: ich komme wieder auf meinen localhost, also ist die Umleitung von Vundo wohl abgewürgt
Hier der log von MoveIt: Zitat File/Folder C:\WINDOWS\system32\vvrbejfh.dll not found.Und hier der log von ComboFix: Zitat ComboFix 08-03-14.4 - julian 2008-03-17 21:06:00.1 - NTFSx86 |
|
|
||
17.03.2008, 22:54
Ehrenmitglied
Beiträge: 6028 |
#6
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Zitat Registry::CFScript.txt nennen und mit der rechten Maustaste auf das Symbol von Combofix ziehen Combofix noch mal anwenden poste dann nach neustart das neue Log __________ MfG Argus |
|
|
||
18.03.2008, 17:39
...neu hier
Themenstarter Beiträge: 5 |
#7
Mein Rechner hat sich nicht neugestartet, aber hier ist der log:
Zitat ComboFix 08-03-14.4 - julian 2008-03-18 17:31:20.2 - NTFSx86 |
|
|
||
19.03.2008, 00:00
Ehrenmitglied
Beiträge: 1441 |
#8
Hallo ,
Gehe in die Registry Start - Ausführen - regedit [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 - in 0 ändern PC neustarten Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" dann warte auf Arnold, vielleicht hat er noch was zu tun für dich __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
19.03.2008, 03:03
Ehrenmitglied
Beiträge: 6028 |
#9
Starte OTMoveIt2 nochmal
Und druecke die “CleanUp” Taste Im naeschten Fenster “Begin cleanup process?” klicke Yes Im naechsten Fenster “Do you want to reboot?” klicke Yes __________ MfG Argus |
|
|
||
19.03.2008, 15:22
...neu hier
Themenstarter Beiträge: 5 |
#10
Zitat Arnold posteteWenn ich auf CleanUp! klicke: I/O Error 1784 Log von Combofix: Zitat ComboFix 08-03-14.4 - julian 2008-03-19 15:13:06.3 - NTFSx86 |
|
|
||
Vor einigen Tagen bemerkte ich, dass ich mich nicht mehr mit firefox zum webserver auf meinem rechner verbinden konnte. Dort stand "Auf localhost wird gewartet...". Fehler am Apache konnte ich ausschließen. Als ich mal durchprobiert hab, welche Prozesse vielleicht stören könnten, habe ich unter anderem auch den explorer.exe gekillt. Und es ging wieder. Also startete ich den Explorer wieder und schaute mir seinen RAM-Speicherbereich an. Im Modul lyamhtdi.dll fand ich diverse Werbe-URLs. Da ich vorher bemerkt hatte, dass sich diese DLL und auch die DLL eiipmgyx.dll in den Autostart eingetragen haben (also per rundll.exe), scannte ich beide mit AntiVir, allerdings ohne ergebnisse. Also benutzte ich das Upload-Feature auf Aviras Website und er wurde fündig, beide Dateien waren infiziert mit TR/Vundo.gen. Ich gab die beiden Dateien frei und löschte sie, entfernte die Einträge aus dem Autostart und rebootete. Kein Anzeichen von einem Virus, es schien alles wieder zu laufen. Wenn das jetzt imemrnoch so wäre, würde ich ejtzt nicht posten.
Ich habe mittlerweile wieder entsprechende Einträge gefunden, allerdings heißen die DLLs jetzt dkdihnqh.dll und xjipiwqs.dll. Ich versuchte, den Vundo mit dieser Beschreibung zu löschen, leider erfolglos. Ich poste jetzt nochmal die logs der beiden Programme.
VBO:
Zitat
RVAXOZitat
Würde mich über Hilfe sehr freuen