Wie lösch ich den Trojaner TR/Vundo.gen?

[Sockswear]

Hallo

Ich hab schon seit kurzem ein Trojaner namens TR/Vundo.gen
Aber Anti Vir löscht den nicht und im internet find ich sonst nix!
Dringend hilfe

[bLacK_dRaSanG]

Moin .

Stelle für uns erstmal ein Hijackthis-Logfile hier rein

Lade dir Hijackthis runter (oben rechts unter "direktdownload")
Entpacke es in einem eigenen Ordner (z.B.: C:\Programme\Hijackthis)
Nenne die Hijackthis.exe in abc.exe um.
Führe die Datei aus und klicke auf "Do a system scan and save a logfile"
Nach einigen Sekunden öffnet sich ein Editorfenster, dessen kompletten
Inhalt kopierst du dann hier in diesen Thread als Code-Tags rein.
Der Code-Tag ist der sechste Button von rechts im Editor (#), da zwischen dann das Logfile von Hijackthis einfügen

Nachdem du es rein gestellt hast, kannst du auch gleich Combofix drüber laufen lassen.
Anleitung und Download (nur für 32-Bit Versionen)
Falls du ein 64 bittiges Betriebssystem besitzt, benutze Malwarebytes. (Update nicht vergessen)
http://www.virus-protect.org/artikel...warebytes.html
Das Bericht von Combofix (alternativ Malwarebytes) und ein erneutes Hijackthis-Logfile, dann auch bitte hinzu editieren. Am besten in Code-Tags. Ist übersichtlicher .

Danke

mfg
bLacK_dRaSanG

[Sockswear]

Moin .

Stelle für uns erstmal ein Hijackthis-Logfile hier rein

Lade dir Hijackthis runter (oben rechts unter "direktdownload")
Entpacke es in einem eigenen Ordner (z.B.: C:\Programme\Hijackthis)
Nenne die Hijackthis.exe in abc.exe um.
Führe die Datei aus und klicke auf "Do a system scan and save a logfile"
Nach einigen Sekunden öffnet sich ein Editorfenster, dessen kompletten
Inhalt kopierst du dann hier in diesen Thread als Code-Tags rein.
Der Code-Tag ist der sechste Button von rechts im Editor (#), da zwischen dann das Logfile von Hijackthis einfügen

Nachdem du es rein gestellt hast, kannst du auch gleich Combofix drüber laufen lassen.
Anleitung und Download (nur für 32-Bit Versionen)
Falls du ein 64 bittiges Betriebssystem besitzt, benutze Malwarebytes. (Update nicht vergessen)
Malwarebytes Anti Malware
Das Bericht von Combofix (alternativ Malwarebytes) und ein erneutes Hijackthis-Logfile, dann auch bitte hinzu editieren. Am besten in Code-Tags. Ist übersichtlicher .

Danke

mfg
bLacK_dRaSanG

danke für die mühe aber ist der pc vom bruder und der is neu ich weiss net ob ich das alles laden darf achja und kaspersky findet den virus irgendwie net mehr Oo antivir hatt den gefunden dann hab ich neuen check gemacht und der war weg vllt. ist ja alles schön und gut

[Worry]

Hi,

was Du machst, ist "den Kopf in den Sand stecken".. Du solltest Deinem Bruder sagen, daß die Tips von bLacK_dRaSanG unbedingt zu befolgen sind, bLacK_dRaSanG kennt sich hervorragend aus und weiß schon, warum er das empfiehlt. Unter Umständen verseucht so langsam der ganze Rechner und dann bleibt nur noch Neuaufsetzen.

Liebe Grüße Worry

[bLacK_dRaSanG]

Ich würde es schon toll finden, zu mindestens noch ein Hijackthis-Logfile zu bekommen. Falls darin nichts mehr zu erkennen ist und Kaspersky und AntiVir nicht meckern, können wir es gerne so stehen lassen...

Ansonsten meldet euch, falls einer dieser Symptome auftreten:

• Werbung in Form von PopUps
• Desktop Hintergrund wird geändert in einem (falschen) Bericht von Windows, welches besagt, dass Adware installiert wurde.)
• Bildschirmschoner wird geändert zum "Blue Screen of Death".
• Änderungen des Hintergrund/Bildschirmschoner nicht möglich, da bestimmte Einträge in der Registry gesetzt wurde
• Die Dateien für den Hintergrund und Bildschirm können nicht gelöscht werden
• Windows Update ist deaktiviert
• Infizierte DLL-Dateien (zufällig Namen nach diesem Schema: "__c00369AB.dat" und "slmnvnk.dll"). Die befinden sich im Startup-Ordner, System32-Ordner. Oder die sind als Add-Ons eingetragen.
• Deaktivierung des Task Manager, Registry und MSConfig
• Einige Firewall und/oder Antiviren Programme werden deaktiviert.
• verbreitere AntiViren Programme (Spybot Search & Destroy, Malwarebytes) werden gelöscht oder anderweitig verhindert.
• Google Suchergebnisse werden automatisch umgeleitet zu unseriöses Antivirus-Seiten
• Leitet einige Webseiten auf eine leere Seite um.
• Explorer.exe stürzt oft ab
• Trägt sich als Treiber ein: C:/Windows/system32/drivers/ (ati0dgxx.sys)
• Festplattenspeicher sinkt...
• Nachladen von anderen Schädlingen
• Nach erfolglosen Benutzung von Hijackthis, sperrt es den PC. (Daher immer schön Namen umändern..)
• Fehlermeldung "Run a DLL as an APP" erscheint wenn einige der zufällig generierten DLL-Dateien gelöscht wurden.
• Autostart durch Winlogon, Registry und als Treiber
• Installiert Werbung, größenteils pornografische, manchmal auch Kinderpornografische Werbung....

Natürlich werden nicht alle auftreten. Und einige habe ich auch weggelassen, da mein Englisch eher miserabel ist.

Nicht auszudenken, was die nachgeladenen Schädlinge noch anrichten könnten ...
Vundo selbst ist ja relativ harmlos.

Aber ansonsten wie Worry es schon sagte, falls es für längere Zeit drauf bleibt und aktiv ist. Ist die Neuaufsetzung wohl echt die einzige Alternative .

Und hat die "Schocktherapie" gewirkt?

mfg
bLacK_dRaSanG

[Sockswear]

Ich würde es schon toll finden, zu mindestens noch ein Hijackthis-Logfile zu bekommen. Falls darin nichts mehr zu erkennen ist und Kaspersky und AntiVir nicht meckern, können wir es gerne so stehen lassen...

Ansonsten meldet euch, falls einer dieser Symptome auftreten:

• Werbung in Form von PopUps
• Desktop Hintergrund wird geändert in einem (falschen) Bericht von Windows, welches besagt, dass Adware installiert wurde.)
• Bildschirmschoner wird geändert zum "Blue Screen of Death".
• Änderungen des Hintergrund/Bildschirmschoner nicht möglich, da bestimmte Einträge in der Registry gesetzt wurde
• Die Dateien für den Hintergrund und Bildschirm können nicht gelöscht werden
• Windows Update ist deaktiviert
• Infizierte DLL-Dateien (zufällig Namen nach diesem Schema: "__c00369AB.dat" und "slmnvnk.dll"). Die befinden sich im Startup-Ordner, System32-Ordner. Oder die sind als Add-Ons eingetragen.
• Deaktivierung des Task Manager, Registry und MSConfig
• Einige Firewall und/oder Antiviren Programme werden deaktiviert.
• verbreitere AntiViren Programme (Spybot Search & Destroy, Malwarebytes) werden gelöscht oder anderweitig verhindert.
• Google Suchergebnisse werden automatisch umgeleitet zu unseriöses Antivirus-Seiten
• Leitet einige Webseiten auf eine leere Seite um.
• Explorer.exe stürzt oft ab
• Trägt sich als Treiber ein: C:/Windows/system32/drivers/ (ati0dgxx.sys)
• Festplattenspeicher sinkt...
• Nachladen von anderen Schädlingen
• Nach erfolglosen Benutzung von Hijackthis, sperrt es den PC. (Daher immer schön Namen umändern..)
• Fehlermeldung "Run a DLL as an APP" erscheint wenn einige der zufällig generierten DLL-Dateien gelöscht wurden.
• Autostart durch Winlogon, Registry und als Treiber
• Installiert Werbung, größenteils pornografische, manchmal auch Kinderpornografische Werbung....

Natürlich werden nicht alle auftreten. Und einige habe ich auch weggelassen, da mein Englisch eher miserabel ist.

Nicht auszudenken, was die nachgeladenen Schädlinge noch anrichten könnten ...
Vundo selbst ist ja relativ harmlos.

Aber ansonsten wie Worry es schon sagte, falls es für längere Zeit drauf bleibt und aktiv ist. Ist die Neuaufsetzung wohl echt die einzige Alternative .

Und hat die "Schocktherapie" gewirkt?

mfg
bLacK_dRaSanG

Das ist schlecht -.- ich muss wohl oder übel es ihm sagen also vielen dank

Hier der Hijackthis Logfile

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:02:13, on 15.08.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [RGSC] C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECF83997-94BF-4453-9C4A-BE1C7C06B75F}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

--
End of file - 2929 bytes

Das mit combofix kannst du mir dazu ein tutorial posten weil ich das nicht richtig kappiert hab danke

[Worry]

Hi,

da black bLacK_dRaSanG offline ist, habe ich mir das Logfile angesehen, vielen Dank dafür, es ist sauber.

Combofix brauchst Du derzeit nicht, aber ich poste Dir trotzdem den Link zu einem Tutorial: Combofix Tutorial .

Lade Dir bitte Malwarebytes herunter und mache damit einen Fullscan, er kann gut eine Stunde dauern, und dann löschen, was es findet, wenn es was findet.

Danach wäre noch ein Scan mit Spybot S&D sinnvoll, bitte vorher updaten.

Wenn Dein Bruder das alles nicht auf dem Rechner haben möchte, ist es kein Problem, diese Programme später wieder zu deinstallieren.

Und für Deine Mitarbeit gibt´s auch noch eine gute Bewertung von mir.

[Sockswear]

Hi,

da black bLacK_dRaSanG offline ist, habe ich mir das Logfile angesehen, vielen Dank dafür, es ist sauber.

Combofix brauchst Du derzeit nicht, aber ich poste Dir trotzdem den Link zu einem Tutorial: Combofix Tutorial .

Lade Dir bitte Malwarebytes herunter und mache damit einen Fullscan, er kann gut eine Stunde dauern, und dann löschen, was es findet, wenn es was findet.

Danach wäre noch ein Scan mit Spybot S&D sinnvoll, bitte vorher updaten.

Wenn Dein Bruder das alles nicht auf dem Rechner haben möchte, ist es kein Problem, diese Programme später wieder zu deinstallieren.

Und für Deine Mitarbeit gibt´s auch noch eine gute Bewertung von mir.

Besten dank und das es sauber ist darüber freu ich mich auch schonma ganz derbe!

ich hatt da echt kein bog auf stress und den malwarebytes mach ich auchnochma rasch! danke

Malwarebytes

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2551
Windows 6.0.6001 Service Pack 1

15.08.2009 22:11:39
mbam-log-2009-08-15 (22-11-39).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 158023
Laufzeit: 20 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

[bLacK_dRaSanG]

Hi,

da black bLacK_dRaSanG offline ist, habe ich mir das Logfile angesehen, vielen Dank dafür, es ist sauber.

Combofix brauchst Du derzeit nicht, aber ich poste Dir trotzdem den Link zu einem Tutorial: Combofix Tutorial .

Danke, dass du übernommen hast .

Was Combofix angeht. Es ist ein guter Spyware-Entferner und kann auch einige Versionen von Vundo auffinden und löschen (Vundofix hätte es auch getan :P). Combofix ist ein recht mächtiges Programm . Aber einer von den beiden Logs reicht, da Hijackthis nichts gefunden hat.^^

@Sockswear:

Das Malwarebytes-Logfile ist auch klasse .

Ich rate dir aber dringend das System zu aktualisieren . Mit dem Service Pack 1 ist es nicht mehr aktuell...

Ansonsten wäre es noch klasse, wenn ihr in den Berichten von AntiVir schaut und mir ein Bericht postet, indem der Vundo-Trojaner erwähnt/gefunden wurde.
Ist aber nur optional .
Der PC ist aber sauber, ich hätte nur gerne gewusst, welche Datei den Alarm ausgelöst hat.

mfg
bLacK_dRaSanG

[Sockswear]

Der PC ist aber sauber, ich hätte nur gerne gewusst, welche Datei den Alarm ausgelöst hat.

mfg
bLacK_dRaSanG

würd ich auch gern wissen -.-

[bLacK_dRaSanG]

würd ich auch gern wissen -.-

Würde im passenden Bericht von AntiVir stehen, aber solange sich nichts meldet ist ja alles gut .

[Sockswear]

ne antivir und kaspersky haben nichts gemeldet