Trojaner von AntiVir gefunden; Autom.Updates & Virensoftware deaktiviert; ... |
||
---|---|---|
#0
| ||
22.12.2008, 16:39
...neu hier
Beiträge: 7 |
||
|
||
22.12.2008, 17:13
Moderator
Beiträge: 7805 |
#2
Hallo Funkmaster,
hake in Hijackthis bitte folgendes an und druecke fix checked: O20 - AppInit_DLLs: vzrjgo.dll SChaue, ob der Eintrag nach einem Neustart verschwunden ist. Sollte Mbam danach nichts mehr melden, sollte es das schon gewesen sein... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.12.2008, 19:01
...neu hier
Themenstarter Beiträge: 7 |
#3
Zitat raman posteteDanke für die Rasche Antwort, der Trojaner scheint zumindest zur Hälfte entfernt worden zu sein. Hier meine Schritte: 1. Eintrag im HJT nicht mehr vorhanden 2. Malewarebytes findet immer noch Infiziertes, aber nur noch 2 Dateien (siehe Log-Datei anbei) 3. Nach dem Neustart sind die automatischen Updates wieder in der Einstellung, in der ich sie zugewiesen habe, aber der Antivir wird nach wie vor automatisch deaktiviert. 4. Logdatei von HJT: Zitat Logfile of Trend Micro HijackThis v2.0.2 |
|
|
||
22.12.2008, 19:08
Moderator
Beiträge: 7805 |
#4
Dann erstelle und poste bitte ein Gmer Report:
http://forum.hijackthis.de/showthread.php?t=16868 Falls dieser zu lang sein sollte, haeng ihn an. Der Rootkitscan von Antivir bringt keine Funde zu Tage? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.12.2008, 21:58
...neu hier
Themenstarter Beiträge: 7 |
#5
okay, der Reihe nach:
Antivir findet [jeweils gelöscht!]: system32\mtobjtfi.dll -> TR/Monder.acfb system32\urqRLfge.dll -> TR/Dldr.Agent.aubk SystemVolumeInformation\...\A0067425.dll -> TR/Trash.Gen der Gmer-Output: Zitat GMER 1.0.14.14536 - http://www.gmer.net |
|
|
||
23.12.2008, 12:48
Moderator
Beiträge: 7805 |
#6
Da zicken nur die Deamontools. Erstelle bitte ein neues aktuelles Combofix Report. Denke bitte daran alle AV/AS Programme zu deaktivieren, waehrend CF laeuft . Auch den Antivirguard und den Teatimer!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.12.2008, 13:38
...neu hier
Themenstarter Beiträge: 7 |
#7
Combofix Report: (Name durch **** ersetzt)
Zitat ComboFix 08-12-21.04 - **** 2008-12-23 13:30:19.2 - NTFSx86 |
|
|
||
23.12.2008, 14:49
Moderator
Beiträge: 7805 |
#8
Suche auf deinem Rechner nach einer Datei mit Namen AdobeR.exe. Sie befindet sich hoechstwahrscheinlich in windows\system32
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.12.2008, 15:09
...neu hier
Themenstarter Beiträge: 7 |
#9
der suchlauf findet nur 2x die Datei "AdobeRGB1998.icc" in
C:\WINDOWS\system32\spool\drivers\color und C:\Programme\Gemeinsame Dateien\Adobe\Color\Profiles\Recommended |
|
|
||
23.12.2008, 15:40
Moderator
Beiträge: 7805 |
#10
Hast du unter Optionen auch das suchen nach versteckten Dateien aktiviert?
Ansonsten loesche unter diesem Schluessel: [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] diese Dinge: \Shell\Auto\command - AdobeR.exe e \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e Starte neu und schaue, ob die Dinge geloescht sind. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.12.2008, 12:47
...neu hier
Themenstarter Beiträge: 7 |
#11
Zitat raman posteteJap. Zitat Ansonsten loesche unter diesem Schluessel:erledigt und ja, bleiben gelöscht ("Wert nicht gesetzt"). Aber zumindest der AntiVirGuard ist beim Neustart wieder deaktiviert bzw der Dienst gestoppt gewesen. |
|
|
||
26.12.2008, 13:14
Moderator
Beiträge: 7805 |
#12
Dann poste doch noch ein aktuellen Cf Report und mache einen Kontrollscan mit f-secure:
http://support.f-secure.de/ger/home/ols.shtml __________ MfG Ralf SEO-Spam Hunter |
|
|
||
26.12.2008, 18:24
...neu hier
Themenstarter Beiträge: 7 |
#13
Zitat ComboFix 08-12-25.04 - **** 2008-12-26 13:37:48.4 - NTFSx86dann hier die vom f-secure gefundenen probleme: und anbei der log vom f-secure als html-datei in nem rar-archiv. danke. Anhang: ols_report.rar
|
|
|
||
die Trojaner, die von Antivir gefunden wurden, heißen:
TR/Vundo.NS
TR/Monder.acag
Beim Systemstart wird durch diese das Virenprogramm (Antivir) automatisch deaktiviert und die Windows Updates ebenso (können auch manuell nicht eingeschalten werden). Dazu öffnen sich nur (!) beim weiteren surfen mit Firefox alle paar Klicks unmotiviert Browserfenster - und ein paar Mal am Tag öffnet sich der IE und will mit dem Antivirus2009 den PC auf Viren testen.
2.Temporäre Dateien beseitigen
[x] done
3.mache einen Scan mit Malwarebytes
[x] done
(Log-Datei im Anhang)
4.Combofix
laut Combofix keine Wiederherstellungskonsole vorhanden, sowie keine aktive Internetverbindung -> Fehlermeldung:
"Boot Partition kann nicht richtig enummeriert werden."
Report: (Name durch **** ersetzt)
Zitat
5.Erstellen eines Hijackthis-LogfilesZitat
6.Erstellen einer Uninstall ListeZitat
so, hoffe alles wie gewünscht erledigt zu haben, vl besteht ja noch eine Chance, den PC nicht neu aufsetzen zu müssen. Dankeschön.