Werde TR/Vundo.Gen unter Vista nicht los... |
||
---|---|---|
#0
| ||
08.05.2008, 15:46
...neu hier
Beiträge: 4 |
||
|
||
08.05.2008, 16:30
Moderator
Beiträge: 7805 |
#2
Du solltest Antimalware auch reinigen lassen, nicht nur scannen!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
08.05.2008, 17:00
Ehrenmitglied
Beiträge: 29434 |
#3
und wenn du dann fertig mit "löschen" bist, wende combofix an + poste den Report hier
http://virus-protect.org/artikel/tools/combofix.html wende vorher CCleaner an, um die temp-Dateien zu entfernen http://www.ccleaner.de/?protecus.de __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.05.2008, 09:24
...neu hier
Themenstarter Beiträge: 4 |
#4
Danke schonmal, aber so einfach wird es wohl nicht:
Zitat raman posteteDas Problem ist, das ich für die 2 *.dll-Dateien einen Neustart brauche, und nach einem Neustart ist alles wieder da... Zitat SabinaIch habe leider nicht erwähnt, das ich Vista 64bit habe, scheint nicht damit zu laufen, oder? |
|
|
||
09.05.2008, 10:15
Moderator
Beiträge: 7805 |
#5
Combofix/Smitfraudfix/RAVXO und andere Batch und Treiberbasierende "Forentools" funktionieren desiginbedingt nicht unter Windows/vista 64 Bit.
Falls du Die Dateien im abgesicherten Modus nicht loeschen kannst, versuchen wir, ob Catchme unter vista 64 funktioniert. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
09.05.2008, 10:46
Ehrenmitglied
Beiträge: 29434 |
#6
Catchme:
http://virus-protect.org/catchme.html poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.05.2008, 11:36
...neu hier
Themenstarter Beiträge: 4 |
#7
Also Catchme läuft leider nicht unter vista64, und die Systemdateien, die Anti-Malware gefunden hat und nach einem Neustart löschen will, hab ich versucht manuell zu löschen, aber an den besagten Orten finde ich nichts! (Ansicht von versteckten Dateien und Systemdateien ist natürlich an).
Vielleicht habt ihr ja noch eine Lösung, sonst mach ich ne Systemwiederherstellung, nachdem ich meine wichtigsten Dateien gespeichert habe Aber schon komisch, das es keine vernünftigen Programme für vista64 gibt, die das bewältigen können... |
|
|
||
17.05.2008, 11:58
Ehrenmitglied
Beiträge: 29434 |
#8
versuche es mit
http://virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat C:\Windows\System32\urqoNhHb.dllKlicke auf den Roten MoveIt! oder gvkiller http://virus-protect.org/artikel/tools/gvkiller.html ---------------- dann schau, ob otscan funktioniert, hake alles laut Anleitung an + poste den report http://virus-protect.org/artikel/tools/otscanit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.05.2008, 12:17
Moderator
Beiträge: 7805 |
#9
Das wird so auch nicht unter Vista funktionieren. Aber du kannst dich mal mit Antivirs rescueCD beschaeftigen. du kannst diese in Antivir unter extras "Rescuecd heerunterladen" laden und auf cd brennen lassen. Nimm dazu am besten einen CDrw Rohling, wenn du hast.
Danach befindet sich auf der gebrannten CD eine sehr gute Anleitung, wie man diese CD nutzen kann. So bekommst du die Dateien auf jeden Fall geloescht. Die Bootcd von Antivir hat noch den Vorteil, das sie auch AD/Spyware meldet __________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.05.2008, 13:42
Ehrenmitglied
Beiträge: 29434 |
#10
funktioniert denn die Antivirs rescueCD auf dem System vista64 ?
http://virus-protect.org/artikel/tools/avirarescue.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.05.2008, 15:33
...neu hier
Themenstarter Beiträge: 4 |
#11
Also hab es mit der Boot-CD probiert, das Problem ist das C: bei mir im striped raid läuft, und daher die Treiber fehlen, um sie unter Linux zu erkennen so konnte ich nur eine unbelastete Festplatte scannen... ich denk mal man kann mit der console noch zusätzlich treiber laden, aber das wird mir dann auch zu hoch, ka ob ich überhaupt für mein intel-raid chipsatz für linux schon treiber bekomme, und das dann so leicht geht wie beschrieben...
So langsam glaube ich, das ich um die Systemwiederherstellung nicht mehr rum komme... |
|
|
||
Hab mir auch den TR/Vundo.Gen eingefangen, Anti-Malware&AntiVir versagen beim löschen!
Hijack LOG:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:37:51, on 08.05.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal
Running processes:
C:\Windows\vVX3000.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\DAEMON Tools Pro\DTProAgent.exe
C:\Users\patrick\Software\Tools&Plugins\Miranda IM\miranda32.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\DESIGN\Acrobat 8.0\Acrobat\acrotray.exe
C:\Program Files (x86)\Java\jre1.6.0_05\bin\jusched.exe
C:\Windows\SysWOW64\CTHELPER.EXE
C:\Windows\SysWOW64\CTXFIHLP.EXE
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Windows\SysWOW64\CTXFISPI.EXE
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Skype\Plugin Manager\skypePM.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\DESIGN\Acrobat 8.0\Acrobat\Acrobat.exe
C:\PROGRA~2\MICROS~2\Office12\OUTLOOK.EXE
C:\Windows\sysWow64\SearchProtocolHost.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\DESIGN\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\DESIGN\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files (x86)\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\DESIGN\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [AsioThk32Reg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\urqoNhHb.dll,#1
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files (x86)\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'Default user')
O4 - Startup: Miranda.lnk = C:\Users\patrick\Software\Tools&Plugins\Miranda IM\miranda32.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\DESIGN\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\DESIGN\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\DESIGN\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\DESIGN\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\DESIGN\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\DESIGN\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\DESIGN\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\DESIGN\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{82680C1A-5A46-4E73-9801-28DF0C497831}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{82680C1A-5A46-4E73-9801-28DF0C497831}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files (x86)\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 10430 bytes
Malware LOG:
Malwarebytes' Anti-Malware 1.12
Datenbank Version: 730
Scan Art: Schnell Scan
Objekte gescannt: 30067
Scan Dauer: 1 minute(s), 57 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
C:\Windows\System32\urqoNhHb.dll (Trojan.Vundo) -> No action taken.
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{a6c54318-5ac7-477d-b0a7-49af5189300c} (Trojan.Vundo) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{a6c54318-5ac7-477d-b0a7-49af5189300c} (Trojan.Vundo) -> No action taken.
Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)
Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)
Infizierte Dateien:
C:\Windows\System32\urqoNhHb.dll (Trojan.Vundo) -> No action taken.
C:\Windows\SysWOW64\urqoNhHb.dll (Trojan.Vundo) -> No action taken.
C:\Users\patrick\AppData\Local\Temp\tmp0002bfcb (Trojan.Vundo) -> No action taken.
DANKE schonmal für jegliche Hilfe!