Antivir findet Trojanisches Pferd, kann es aber nicht löschen

Begonnen von No_Name, 03. Juli 2008, 20:02:13 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

No_Name

Meine keline Schwester hat an meinem Rechner rumgespielt, bis am Ende vin AntiVir das hier kam:

In der Datei 'C:\WINXP\system32\pmnkjHwT.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Nur leider wird die Datei nicht gelöscht, oder es erscheinen andere Dateinamen. Beim Durchsuchen findet AntiVir jedoch nichts, nur der Guard.
Im I-Net gibt es zwar in manchen Foren Anleitungen zum Entfernen, jedoch nur Teile, man soll sich dann halt immer anmelden und denen dann seine Logs posten, dass will ich aber eigentlich nicht extra, deshalb hoffe ich mir kann damit jemand helfen.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58, on 2008-07-03
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\WINXP\RTHDCPL.EXE
C:\Programme\ObjectDock\ObjectDock.exe
D:\Programme\Core Temp\Core Temp.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINXP\system32\oodag.exe
C:\Programme\Avant Browser\avant.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Adobe Reader 8.0\Reader\AcroRd32.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5D72C2A4-9AC6-4727-A705-CEA1F0220B78} - C:\WINXP\system32\urqrsrsP.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [trueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [ObjectDock] C:\Programme\ObjectDock\ObjectDock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Core Temp.lnk = D:\Programme\Core Temp\Core Temp.exe
O4 - Startup: Dnetc.lnk = D:\Programme\distributed.net\dnetc.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\winxp\system32\nwprovau.dll
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1215092759109
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: urqrsrsP - C:\WINXP\SYSTEM32\urqrsrsP.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe

--
End of file - 5405 bytes

tyco

Beende folgende Dienste (O4-Einträge) mit dem Taskmanager und fixe diese Einträge:

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

Fixe diesen Eintrag:

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab

Sodann solltest du den Rechner mit dem aktuellsten Update von Ad-Aware und Spybot S&D scannen.
Bitte keine Supportanfragen per PM stellen.

No_Name

03. Juli 2008, 22:34:34 Uhr #2 Letzte Bearbeitung: 03. Juli 2008, 22:46:45 Uhr von No_Name
Danke

Sbybot findet jetzt zum 2. Mal den gleichen Fehler, lass jetzt beides noch mal laufen und poste dann den Bereicht.

Wofür das fixen?

tyco

Zitat von: No_Name am 03. Juli 2008, 22:34:34 Uhr
Spybot findet jetzt zum 2. Mal den gleichen Fehler, lass jetzt beides noch mal laufen und poste dann den Bereicht.

Lass Spybot S&D und Ad-Aware mal im abgesicherten Modus scannen.
Bitte keine Supportanfragen per PM stellen.

No_Name

Hab ich die finden nichts mehr, trotzdem zeig antivirguard regelmäßig 2 Funde  ???

tyco

Bitte keine Supportanfragen per PM stellen.

No_Name

In der Datei 'C:\WINXP\system32\wvUomLEV.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5AHQTH3P\css4[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


In der Datei 'C:\WINXP\system32\vtUkjJcB.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

n der Datei 'C:\WINXP\system32\pmnnKBUl.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\WINXP\system32\yaywvtTn.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Wobei immer 2 Meldungen auftauchen und eine immer die makierte ist, die zweite Datei variiert immer.

tyco

05. Juli 2008, 17:12:12 Uhr #7 Letzte Bearbeitung: 05. Juli 2008, 17:44:02 Uhr von tyco
Zitat von: No_Name am 05. Juli 2008, 15:59:27 Uhr
...wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.

Probiere mal mit dem Tool VundoFix (http://vundofix.atribune.org/) den Trojaner zu entfernen.

Bevor du das Tool startest deaktiviere die Systemwiederherstellung. Wenn du nach einem Neustart feststellst, dass der Trojaner entfernt worden ist dann kannst du die Systemwiederherstellung wieder aktivieren.

Bitte keine Supportanfragen per PM stellen.

No_Name

05. Juli 2008, 18:02:00 Uhr #8 Letzte Bearbeitung: 05. Juli 2008, 18:03:55 Uhr von No_Name
Hat auch nichts gefunden, aber die Suche ist sofort durch, ist das normal?

tyco

05. Juli 2008, 18:13:31 Uhr #9 Letzte Bearbeitung: 05. Juli 2008, 18:48:04 Uhr von tyco
Bei mir scannt VundoFix bereits seit über sieben Minuten....Ende offen.

EDIT: Der Scan hat bei mir 33 Minuten gedauert. Es wurde jede Datei im Windows-Ordner gescannt.
Bitte keine Supportanfragen per PM stellen.

No_Name

Das gleiche kam bei mir auch nur nach ca. 5 Sekunden.  ???

Hab jetzt noch ein Tool zu entfernen ausprobiert, nur leider den Namen vergessen, shit, konnte meine Suche jetzt auch nicht nachvollziehen. Naja bis jetzt ist er ruhig.