Trojaner/Viren auf meinem Notebook :(

  • Hallo!


    Habe einen "Roster" für ein Basketballspiel runtergeladen, welch scheinbar ein verseuchtes programm war...seitdem poppen sich ständig IExplorer windows auf (obwohl ich firefox verwende) und AntiVir meldet bei jedem neustart dass er viren/trojaner gefunden hat.
    habe schon die verschiedene Programme drüberlaufen lassen...hat alles nichts bewirkt bis jetzt


    Anbei poste ich die schritte wie hier beschrieben stehen


    Besten Dank schonmal - wär echt spitze hier endlich echte hilfe zu bekommen :)

    - AVG Antispyware:


    + Erstellt um: 20:56:26 20.04.2007


    + Scan-Ergebnis:


    C:\WINDOWS\system32\efcywtt.dll -> Adware.Virtumonde : Gesäubert.
    C:\WINDOWS\system32\opnmjif.dll -> Adware.Virtumonde : Gesäubert.

    - Panda


    Ereignis Zustand Standort


    Spyware:Spyware/Virtumonde Nicht desinfiziert C:\WINDOWS\system32\yayxuvs.dll
    Spyware:Cookie/Winantivirus Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[.winantivirus.com/]
    Spyware:Cookie/Reliablestats Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[stats1.reliablestats.com/]
    Spyware:Cookie/Winantivirus Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[.winantivirus.com/]
    Spyware:Cookie/Atlas DMT Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[.atdmt.com/]
    Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[as1.falkag.de/]
    Spyware:Cookie/Adverserve Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[.adverserve.net/]
    Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[as1.falkag.de/]
    Spyware:Cookie/Systemdoctor Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[http://www.systemdoctor.com/]
    Spyware:Cookie/Systemdoctor Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[.systemdoctor.com/]
    Spyware:Cookie/Winantivirus Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[http://www.winantiviruspro.com/]
    Spyware:Cookie/Go Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[.go.com/]
    Spyware:Cookie/adultfriendfinder Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[.adultfriendfinder.com/]
    Spyware:Cookie/888 Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[.888.com/]
    Spyware:Cookie/Apmebf Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[.apmebf.com/]
    Spyware:Cookie/Xiti Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[.xiti.com/]
    Spyware:Cookie/bravenetA Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[.bravenet.com/]
    Spyware:Cookie/Adserver Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\2whk2zqz.default\cookies.txt[adserver.filefront.com/]
    Spyware:Cookie/Adrevolver Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adrevolver[2].txt
    Spyware:Cookie/Adrevolver Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adrevolver[3].txt
    Spyware:Cookie/Atlas DMT Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atdmt[2].txt
    Spyware:Cookie/DriveCleaner Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@drivecleaner[1].txt
    Spyware:Cookie/Mediaplex Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mediaplex[1].txt
    Spyware:Cookie/Reliablestats Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@stats1.reliablestats[1].txt
    Spyware:Cookie/Winantivirus Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@winantivirus[2].txt
    Spyware:Cookie/DriveCleaner Nicht desinfiziert C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.drivecleaner[2].txt
    Adware:Adware/Cydoor Nicht desinfiziert D:\download\emule-1.2.5.exe[¦$$\System32\mssvide.dll]
    Adware:Adware/Cydoor


    - Hijackthis
    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 22:12:01, on 20.04.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Normal



    - Blacklight
    04/20/07 22:12:45 [Info]: BlackLight Engine 1.0.61 initialized
    04/20/07 22:12:45 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    04/20/07 22:12:45 [Note]: 7019 4
    04/20/07 22:12:45 [Note]: 7005 0
    04/20/07 22:12:48 [Note]: 7006 0
    04/20/07 22:12:48 [Note]: 7011 540
    04/20/07 22:12:49 [Note]: 7026 0
    04/20/07 22:12:49 [Note]: 7026 0
    04/20/07 22:12:51 [Note]: FSRAW library version 1.7.1021
    04/20/07 22:15:09 [Note]: 2000 1012
    04/20/07 22:15:19 [Note]: 7007 0

    Einmal editiert, zuletzt von EstherCH ()

  • Hallo,


    #Rechte Maustaste auf Arbeitsplatz---->Eigenschaften---->Systemwiederherstellung----> Haken setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren---->klicke Übernehmen---->dann OK, wieder aktivieren


    Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
    "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
    ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
    aktivieren -> "OK"


    #Bitte folgende Dateien hier Hochladen:
    http://www.emsisoft.de/de/support/submit/
    Als Beschreibung:

    Zitat

    Es handelt sich hierbei um vermutlich neue/unbekannte Trojan.Vundo aus http://www.paules-pc-forum.de

    Diese Dateien:

    Zitat

    C:\WINDOWS\system32\yayxuvs.dll
    C:\WINDOWS\system32\ddcca.dll
    C:\WINDOWS\system32\xkikbnnq.dll


    #Lade dir VundoFix.exe auf dem Desktop speichern.

    • Alle anderen Programme schließen.
    • VundoFix.exe doppelklicken.
    • Den Scan for Vundo Button klicken.
    • Wenn das Tool den Scan beendet hat, klicke den Remove Vundo Button.
    • Du wirst gefragt werden ob Du die Dateien entfernen willst, YES klicken.
    • Nachdem Du yes geklickt hast und das Programm mit der Entfernung von Vundo begonnen hat, werden Desktop Icons und die Taskbar verschwinden.
    • Abschließend erhältst Du die Mitteilung, daß Dein Computer jetzt ausgeschaltet wird, OK klicken.
    • Computer wieder einschalten.
    • Poste den Inhalt der Datei C:\vundofix.txt und einen neuen HiJackThis log.


    #Lade dir FixVundo auf dem Desktop speichern,starte FixVundo.exe,klicke auf Start & Scan mit.


    #Lade dir VirtumundoBegone & auf dem Desktop speichern.Bitte schliesse alle anderen Programme.
    Doppelklicke auf VirtumundoBeGone.exe & Anweisungen folgen .
    Achtung der Computer wird automatisch neustarten und mit einen Bluescreen Stop Error. Das ist normal.


    #Lade dir F-vmonde hier http://www.f-secure.com/tools/f-vmonde.zip auf dem Desktop speichern & entpacken.
    Alle andere Fenster schließen,starte f-vmonde.exe,den Anweisung folgen,Pc neustarten.


    #Lade dir dir dann die SmitfraudFix.exe,auf dem Desktop speichern,dann Doppelklick auf SmitfraudFix.exe,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter, den Anweisungen auf dem Bildschirm folgen.(Wenn Frage kommt mit J antworten)


    #Lade dir CCleaner auf dem Desktop speichern und intallieren.Doppel klick auf CCleaner,so sollte aussehen
    [Blockierte Grafik: http://upload7.postimage.org/138533/Zwischenablage01.jpg] Dann klicke auf Starte CCleaner,den Anweisungen folgen.


    #PC neustarten--> abgesicherter Modus
    #Inhalt folgende ordner loeschen:
    C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
    C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
    C:\WINDOWS\temp---> Inhalt löschen
    C:\WINDOWS\Prefetch---> Inhalt löschen


    PC neustarten!
    #Neuer HijackThis log, vundofix.txt & andere posten


    Gruss
    Mopao

    Gruss Mopao
    Malware-Veteran

  • Danke für die schnelle ersthilfe!

    vundofix.txt:


    VundoFix V6.3.19


    Checking Java version...


    Sun Java not detected
    Scan started at 22:45:55 20.04.2007


    Listing files found while scanning....


    C:\WINDOWS\system32\accdd.ini
    C:\WINDOWS\system32\ddcca.dll


    Beginning removal...


    Attempting to delete C:\WINDOWS\system32\accdd.ini
    C:\WINDOWS\system32\accdd.ini Has been deleted!


    Attempting to delete C:\WINDOWS\system32\ddcca.dll
    C:\WINDOWS\system32\ddcca.dll Has been deleted!


    Performing Repairs to the registry.
    Done!


    neue hijackfile


    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 23:00:53, on 20.04.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Normal

    Einmal editiert, zuletzt von EstherCH ()

  • #PC neustarten--> abgesicherter Modus
    Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken
    O2 - BHO: (no name) - {6148028B-D532-4417-8C0B-5A4A0B745393} - C:\WINDOWS\system32\yayxuvs.dll
    O2 - BHO: (no name) - {895F6BE4-DF55-492E-B272-19E19B206A4B} - C:\WINDOWS\system32\ddcca.dll (file missing)
    O2 - BHO: (no name) - {E8B97C22-DE26-4829-85D4-CD5F7EAC7524} - C:\WINDOWS\system32\xkikbnnq.dll
    O20 - Winlogon Notify: yayxuvs - C:\WINDOWS\SYSTEM32\yayxuvs.dll


    #Gehe auf Start/Ausführen oder Microsoft Taste + r,folgende code eingeben & bestätigen mit OK (Einfach kopieren & einfügen)


    Code
    regsvr32 /u C:\WINDOWS\system32\yayxuvs.dll

    OK


    Code
    regsvr32 /u C:\WINDOWS\system32\xkikbnnq.dll

    OK


    #PC neustarten--> abgesicherter Modus
    1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
    Oder unter Start/Programme/Zubehör/Editor
    2. copiere diser Code rein:

    Code
    @ECHO OFF
    attrib -s -r -h C:\WINDOWS\system32\yayxuvs.dll
    del /q C:\WINDOWS\system32\yayxuvs.dll
    attrib -s -r -h C:\WINDOWS\system32\xkikbnnq.dll 
    del /q C:\WINDOWS\system32\xkikbnnq.dll
    attrib -s -r -h C:\WINDOWS\system32\ddcca.dll
    del /q C:\WINDOWS\system32\ddcca.dll
    exit


    3. Speichere die Datei als Fix.bat auf Desktop
    4.Doppel klick auf diese Datei Fix.bat


    #PC neustarten
    #Mache a-squared Web Malware Scanner Online Scan (Am besten mit Internet Explorer!)


    #PC neustarten
    #Lade dir Kostenloser VBA32 Scanner hier http://vba32.de/demo/content/view/15/31 auf dem Desktop speichern und entpacken.
    Den Scanner starten. (Sag Bescheid,wenn etwas gefunden war).


    PC neustarten!
    #Neuer HijackThis log & Kostenloser VBA32 Scanner posten


    Gruss
    Mopao

    Gruss Mopao
    Malware-Veteran

  • besten dank...habe alles ausgeführt!


    Zitat

    regsvr32 /u C:\WINDOWS\system32\yayxuvs.dll
    OK


    Code:
    regsvr32 /u C:\WINDOWS\system32\xkikbnnq.dll
    OK


    konnte ich nicht machen "datei in libary nicht gefunden" oder so ähnlich...


    a-squared Free - Version 2


    Scan settings:


    Objects: Memory, Traces, Cookies, C:\WINDOWS\, C:\Programme
    Scan archives: On
    Heuristics: Off
    ADS Scan: On


    Scan start: 21.04.2007 00:25:22



    Scanned


    Files: 72503
    Traces: 109820
    Cookies: 29
    Processes: 36


    Found


    Files: 1
    Traces: 0
    Cookies: 4
    Processes: 0


    Scan end: 21.04.2007 00:42:37
    Scan time: 00:17:15


    VBA32 Scanner
    [Blockierte Grafik: http://upload7.postimage.org/762832/scan1.jpg]


    -habe alle funde hier manuell entfernt bis auf "yayxuvs.dll"...
    danach CCcleanver...neustart und wieder hijack:


    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 01:53:07, on 21.04.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Normal





    pop up hat sich bis jetzt noch keiner geöffnet (10 min online :))

    Einmal editiert, zuletzt von EstherCH ()

  • Zitat von Alberto

    ist mein Notebook wieder "clean"? :|


    Melde mich,wenn ich zu Hause bin.


    Gruss
    Mopao

    Gruss Mopao
    Malware-Veteran

  • ok danke...bin gespannt...bis jetzt hab ich keine nervigen popups wieder. "gefühlsmässig" funktioniert das notebook wieder gut :)

  • Hallo,


    #Loesche mal die Funde von Kostenloser VBA32 Scanner & melde dich wieder mit neuem HijackThis log..


    Gruss
    Mopao

    Gruss Mopao
    Malware-Veteran

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!