S: HILFE - Trojanisches Pferd eingefangen! - Forum

Bumblebee

OC Addicted

Registered: Mar 2008
Location: Bez. Baden
Posts: 2016

19.11.2008 - 20:04

hab zuvor meinen computer gestartet und gleich mal eine nette überaschung gehabt!

egal was ich wähle (löschen, zugriff verweigern usw.) die meldung kommt immer wieder! goggle hat mir auch nix ausgespuckt!

kann mir bitte wer helfen?

Bearbeitet von Bumblebee am 23.11.2008, 09:57

Marius

OC Addicted

Registered: May 2002
Location: Austria
Posts: 3375

19.11.2008 - 20:06

probiers mal damit -> http://www.malwarebytes.org/mbam.php

hat mir schon paar mal geholfen ...

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

19.11.2008 - 20:07

würde nen ordentlichen virenscanner vorschlagen. ist ansich bekannt dass antivir bestenfalls viren meldet, dagegen aber nichts unternehmen kann. :/

Cobase

Vereinsmitglied
Mr. RAM

Registered: Jun 2001
Location: Linz
Posts: 17905

19.11.2008 - 20:07

False Positive u.U.?

Schon ein Virendefinitionsupdate versucht?

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

19.11.2008 - 20:08

Mit nem Lasso fangen ?

scnr

Zitat
Manuelle Entfernung:

Um die erzeugten Registry Werte wieder zu löschen sind folgende Schritte durchzuführen:

1.) Start > Ausführen

2.) Eingeben des Befehls regedit und bestätigen mit OK

3.) Folgende Werte in den Keys löschen:

"*WinLogon" = "[Trojan full path file name] ren time:[random number]"

in den Registry Key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Active State

"*[Trojan file name]" = "[Trojan full path file name] rerun"

in den Registry Key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce

"[Default value]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"

in den Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLE vents\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLE vents.1\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB 7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\
Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}

4.) Editor verlassen und Windows neu starten.

Aus dem Thread:
http://www.trojaner-board.de/24177-trojaner-vundo.html

Noch ein Link:
http://www.bleepingcomputer.com/mal...undo-virtumonde

d0lby

reborn

Registered: Jul 2004
Location:
Posts: 6228

19.11.2008 - 20:08

Zitat von Smut
würde nen ordentlichen virenscanner vorschlagen. ist ansich bekannt dass antivir bestenfalls viren meldet, dagegen aber nichts unternehmen kann. :/

beispiele?

wenn du schon dabei bist

Cobase

Vereinsmitglied
Mr. RAM

Registered: Jun 2001
Location: Linz
Posts: 17905

19.11.2008 - 20:09

Norton AV 2009 oder Avira 2009 (Kaufversion).

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

19.11.2008 - 20:09

nod32, kaspersky und auch der neue norton sollen gut sein.
alternativ würde ich vorher noch nen versuch im abgesicherten modus wagen.

Bumblebee

OC Addicted

Registered: Mar 2008
Location: Bez. Baden
Posts: 2016

19.11.2008 - 20:14

Zitat von Hansmaulwurf
Mit nem Lasso fangen ? scnr

Aus dem Thread:
http://www.trojaner-board.de/24177-trojaner-vundo.html

Noch ein Link:
http://www.bleepingcomputer.com/mal...undo-virtumonde

für das kenn ich mich zu wenig aus!

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

19.11.2008 - 20:18

Zitat von Bumblebee
für das kenn ich mich zu wenig aus!

wait, what ?

Zitat

3. Download Vundo Fix and save it to your desktop.

4. When it has completed downloading, double-click VundoFix.exe to run it.

5. Click the Scan for Vundo button.

6. Once it's done scanning, click the Remove Vundo button.

7. You will now receive a prompt asking if you want to remove the files, click the YES button. Once you click yes, your desktop will go blank as it starts removing Vundo.

8. When completed, it will prompt that it will shutdown your computer, click the OK button.

9. When the computer has shutdown, turn your computer back on.

The WinFixer and Vundo infection should now be removed from your computer.

2ter Link

Bumblebee

OC Addicted

Registered: Mar 2008
Location: Bez. Baden
Posts: 2016

19.11.2008 - 20:22

Zitat von Hansmaulwurf
2ter Link

ups... ich meinte die anleitung für die manuelle entfernung!!
den 2. link versuch ich gerade!

Bumblebee

OC Addicted

Registered: Mar 2008
Location: Bez. Baden
Posts: 2016

19.11.2008 - 20:39

VundoFix hat nichts gefunden!

was noch seltsam ist... gestern hab ich noch ein backup gemacht, wo der pc ja eigentlich super gelaufen ist. hab heute das backup schon mal darübergespielt, trotzdem hab ich den virus...oder ist das egal :confused:

?

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2566

19.11.2008 - 23:47

Zitat von Cobase
False Positive u.U.?

Schon ein Virendefinitionsupdate versucht?

Dabei handelt es sich sicher nicht um einen FP

@Bumblebee: lad dir HiJackThis herunter, installier das tool und führ einen Scan durch (Scan and Save a logfile). Dann poste das Log hier mal.

Eventuell ist gestern beim Backup der Virus zwar schon oben gewesen, hat sich aber es sind noch keine Autostart Einträge eingetragen worden. Eventuell hat Avira den Virus auch erst in der Zwischenzeit in deren Virendatenbank eingebaut.

Cobase

Vereinsmitglied
Mr. RAM

Registered: Jun 2001
Location: Linz
Posts: 17905

19.11.2008 - 23:58

Virustotal wäre auch interessant.

fatmike182

Agnotologe

Registered: Oct 2005
Location: VIE
Posts: 4223

20.11.2008 - 00:11

@ smut
imho kommt man mit gratis virenscannern gut genug zurecht.
Kaspersky oder Norton halte ich kostenmäßig für den Durchschnittsuser (der ja eh nicht als Admin surft) zu hoch gegriffen. Zur Not muss halt hijackthis, malwarebyte's oder S&D mal herhalten.
(meine evtl blauäugige Meinung)

@ topic:
lt http://www.avira.de/de/threats/sect....01.00.107.html wurde zumindest die KLassifizieung/Identifizierung erst heute in die Datenbank von AV aufgenommen...
würde im abgesicherten Modus hochfahren (F8 gedrückt halten beim booten) und hijackthis, malwarebytes und den virenscanner drüberrennen lassen (davor evtl updaten)

Bumblebee OC Addicted Registered: Mar 2008 Location: Bez. Baden Posts: 2016	19.11.2008 - 20:04 hab zuvor meinen computer gestartet und gleich mal eine nette überaschung gehabt! egal was ich wähle (löschen, zugriff verweigern usw.) die meldung kommt immer wieder! goggle hat mir auch nix ausgespuckt! kann mir bitte wer helfen? Bearbeitet von Bumblebee am 23.11.2008, 09:57
Marius OC Addicted Registered: May 2002 Location: Austria Posts: 3375	19.11.2008 - 20:06 probiers mal damit -> http://www.malwarebytes.org/mbam.php hat mir schon paar mal geholfen ...
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	19.11.2008 - 20:07 würde nen ordentlichen virenscanner vorschlagen. ist ansich bekannt dass antivir bestenfalls viren meldet, dagegen aber nichts unternehmen kann. :/
Cobase Vereinsmitglied Mr. RAM Registered: Jun 2001 Location: Linz Posts: 17905	19.11.2008 - 20:07 False Positive u.U.? Schon ein Virendefinitionsupdate versucht?
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	19.11.2008 - 20:08 Mit nem Lasso fangen ? scnr Zitat Manuelle Entfernung: Um die erzeugten Registry Werte wieder zu löschen sind folgende Schritte durchzuführen: 1.) Start > Ausführen 2.) Eingeben des Befehls regedit und bestätigen mit OK 3.) Folgende Werte in den Keys löschen: "WinLogon" = "[Trojan full path file name] ren time:[random number]" in den Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Active State "[Trojan file name]" = "[Trojan full path file name] rerun" in den Registry Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce "[Default value]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}" in den Registry Key: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLE vents\CLSID HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLE vents.1\CLSID HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB 7-8AF6-439B-B7BA-2F952F9E4800} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800} 4.) Editor verlassen und Windows neu starten. Aus dem Thread: http://www.trojaner-board.de/24177-trojaner-vundo.html Noch ein Link: http://www.bleepingcomputer.com/mal...undo-virtumonde
d0lby reborn Registered: Jul 2004 Location: Posts: 6228	19.11.2008 - 20:08 Zitat von Smut würde nen ordentlichen virenscanner vorschlagen. ist ansich bekannt dass antivir bestenfalls viren meldet, dagegen aber nichts unternehmen kann. :/ beispiele? wenn du schon dabei bist
Cobase Vereinsmitglied Mr. RAM Registered: Jun 2001 Location: Linz Posts: 17905	19.11.2008 - 20:09 Norton AV 2009 oder Avira 2009 (Kaufversion).
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	19.11.2008 - 20:09 nod32, kaspersky und auch der neue norton sollen gut sein. alternativ würde ich vorher noch nen versuch im abgesicherten modus wagen.
Bumblebee OC Addicted Registered: Mar 2008 Location: Bez. Baden Posts: 2016	19.11.2008 - 20:14 Zitat von Hansmaulwurf Mit nem Lasso fangen ? scnr Aus dem Thread: http://www.trojaner-board.de/24177-trojaner-vundo.html Noch ein Link: http://www.bleepingcomputer.com/mal...undo-virtumonde für das kenn ich mich zu wenig aus!
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	19.11.2008 - 20:18 Zitat von Bumblebee für das kenn ich mich zu wenig aus! wait, what ? Zitat 3. Download Vundo Fix and save it to your desktop. 4. When it has completed downloading, double-click VundoFix.exe to run it. 5. Click the Scan for Vundo button. 6. Once it's done scanning, click the Remove Vundo button. 7. You will now receive a prompt asking if you want to remove the files, click the YES button. Once you click yes, your desktop will go blank as it starts removing Vundo. 8. When completed, it will prompt that it will shutdown your computer, click the OK button. 9. When the computer has shutdown, turn your computer back on. The WinFixer and Vundo infection should now be removed from your computer. 2ter Link
Bumblebee OC Addicted Registered: Mar 2008 Location: Bez. Baden Posts: 2016	19.11.2008 - 20:22 Zitat von Hansmaulwurf 2ter Link ups... ich meinte die anleitung für die manuelle entfernung!! den 2. link versuch ich gerade!
Bumblebee OC Addicted Registered: Mar 2008 Location: Bez. Baden Posts: 2016	19.11.2008 - 20:39 VundoFix hat nichts gefunden! was noch seltsam ist... gestern hab ich noch ein backup gemacht, wo der pc ja eigentlich super gelaufen ist. hab heute das backup schon mal darübergespielt, trotzdem hab ich den virus...oder ist das egal ?
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2566	19.11.2008 - 23:47 Zitat von Cobase False Positive u.U.? Schon ein Virendefinitionsupdate versucht? Dabei handelt es sich sicher nicht um einen FP @Bumblebee: lad dir HiJackThis herunter, installier das tool und führ einen Scan durch (Scan and Save a logfile). Dann poste das Log hier mal. Eventuell ist gestern beim Backup der Virus zwar schon oben gewesen, hat sich aber es sind noch keine Autostart Einträge eingetragen worden. Eventuell hat Avira den Virus auch erst in der Zwischenzeit in deren Virendatenbank eingebaut.
Cobase Vereinsmitglied Mr. RAM Registered: Jun 2001 Location: Linz Posts: 17905	19.11.2008 - 23:58 Virustotal wäre auch interessant.
fatmike182 Agnotologe Registered: Oct 2005 Location: VIE Posts: 4223	20.11.2008 - 00:11 @ smut imho kommt man mit gratis virenscannern gut genug zurecht. Kaspersky oder Norton halte ich kostenmäßig für den Durchschnittsuser (der ja eh nicht als Admin surft) zu hoch gegriffen. Zur Not muss halt hijackthis, malwarebyte's oder S&D mal herhalten. (meine evtl blauäugige Meinung) @ topic: lt http://www.avira.de/de/threats/sect....01.00.107.html wurde zumindest die KLassifizieung/Identifizierung erst heute in die Datenbank von AV aufgenommen... würde im abgesicherten Modus hochfahren (F8 gedrückt halten beim booten) und hijackthis, malwarebytes und den virenscanner drüberrennen lassen (davor evtl updaten)

S: HILFE - Trojanisches Pferd eingefangen!

Forum Index > Software > Applications, Apps & Drivers

Bumblebee

Marius

Smut

Cobase

Hansmaulwurf

d0lby

Cobase

Smut

Bumblebee

Hansmaulwurf

Bumblebee

Bumblebee

schizo

Cobase

fatmike182