Nichts geht mir - Vundo.gen

Hallo,
ich habe ein Notebook Acer Aspire 1620 mit Win XP Home. Das System ist mit dem TR/Vundo.gen total versucht und ich möchte es komplett neu installieren. Aber ich komme nicht vom Fleck und hoffe auf eure Hilfe!

Ich habe die Recovery-CD und zwei System-CD von Acer, die dem Notebook beilagen. Aber das Laufwerk lässt sich nicht mehr ansprechen.

Ich habe versucht über das BIOS die Bootreihenfolge auf das CD-Laufwerk zu ändern -> aber es konnte nicht auf das LW zugegriffen werden und es startete die XP von der Festplatte.

Ich habe versucht, über eine externe USB-Fextplatte und einen USB-Stick die Recovery-CD zu starten, ging auch nicht.

Den Trojaner habe ich stundenlang mit der Virensoftware beseitigen wollen, kommt aber immer wieder.

Auf dem System sind keinerlei Daten, die ich noch benötige, daher wollte ich das System formatieren. In die Eingabeaufforderung bin ihc nicht gekommen und im abgesicherten Modus lies er das Formatieren nicht zu.

Ich hoffe sehr auf euren Rat, was ich noch tun kann!

 

Den Trojaner entfernen.
http://virus-protect.org/artikel/tools/vundofixx.html

Eventuell musst du garnichts neu aufsetzen.

Dann ein Hijackthis Log erstellen und hier posten.

 

Danke für die rasche Antwort! Ich werde das gleich mal versuchen. Habe auf dem Notebook keine INternetzuggang, hoffe, das klappt trotzdem.

 

mach das HJT log, anschliessend scannst du dein System mit
>Spybot S&D<

aber NICHTS fixen bei HJT

 

HJT log ??

 

HiJackThis = HJT

 

Ah danke! Aber das geht nicht ohne Internet-Anschluß am Notebook.

 

http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html
dann musst du irgendwie schaffen, das Programm auf das Notebook zu bekommen, ohne HJT ist eine "Fernwartung" unmöglich

 

Habe jetzt CCleaner und dann ComboFix und HiJack laufen lassen.

Das ist das Log-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:52:36, on 11.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wltrysvc.exe
C:\WINDOWS\system32\bcmwltry.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Launch Manager\PowerKey.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\OSDCtrl.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.finderg.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {CBFA0E8E-7489-4A16-8D6E-0D58BFFB6134} - C:\WINDOWS\system32\xxyyaax.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O20 - Winlogon Notify: xxyyaax - C:\WINDOWS\SYSTEM32\xxyyaax.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\system32\wltrysvc.exe

--
End of file - 4425 bytes

 

combofix hat was gefunden?

1.Systemwiederherstellung ausschalten
2.HJT starten: und fixenHaken setzen und fixen klicken)

Code:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.finderg.com
2 - BHO: (no name) - {CBFA0E8E-7489-4A16-8D6E-0D58BFFB6134} - C:\WINDOWS\system32\xxyyaax.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O20 - Winlogon Notify: xxyyaax - C:\WINDOWS\SYSTEM32\xxyyaax.dll

Systemneustart, erneutes log posten

btw: SP3 und IE 7 sind aktuell!

 

combofix hat eine Logdatei erstellt, ziemlich lang.

Die TrojanerMeldung kommt noch immer.

HiJack lässt diese xxyyaax.dll nicht fixen und ich kann diese auch manuell nicht löschen.

Das Notebook hatte meinen Sohn gehört und stand nun gut ein halbes Jahr unbenutz herum. Ich möchte es nun gerne für unterwegs nehmen und daher wieder herstellen. Den IE möchte ich nicht verwenden und SP3 ist deswegen noch nicht oben (komme mit dem Notebook auch nichts ins Netz derzeit).

 

Spyboot lässt sich nur ausführen, wenn ich ein ErkennungsUpdate mache, was aber nicht geht, weil ich kein Internet am Notebook habe.

Wie kann ich den die Datei xxyyaax.dll löschen? Die scheint mir das Übel zu sein. Mit HJ lässt sie sich nicht fixen.

Danke im Voraus!

 

da sich der Übeltäter nciht beseitigen lässt- neuaufsetzen soory

 

Wenn ich wüsste, wie ich das system neu aufsetzten kann CD-LW (siehe erstes Posting) ist nicht mehr ansprechbar

 

So ich denke genauer kann man das ganze nicht mehr erklären....

1. Downloade folgende Programme, kopiere dir diese auf einen USB Stick oder was auch immer und kopiere sie auf das Notebook

CCleaner
ComboFix
VundoFix

So nachdem du die Programme auf dem Notebook hast machst du folgendes:

1. CCleaner installieren

2. CCleaner starten
3. folgende Haken setzen


4. auf den Button Starte CCleaner klicken

5. CCleaner beenden
6. Alle Programme schließen. Auch Antivir !
7. Die Datei ComboFix per doppelklick öffnen
8. Alle Meldungen mit Ja bzw. Yes bestätigen
9. Es erscheint ein blaues Fenster, Enter klicken
10. WICHTIG ! Abwarten , keine Aktionen - nichtmal die Maus bewegen !
11. Wenn ComboFix fertig ist: VundoFix starten
12. Scan klicken
13. Abwarten bis der Scan beendet ist
14. Remove Vundo klicken (Bei Abfrage ob Neustart unbedingt YES klicken)
15. C:\VundoFix Backups - löschen + Papierkorb leeren
16. System mit AntiVir prüfen, wenn alles ok ist sollte keine Meldung mehr erscheinen.
17. Glückwunsch oder nochmal melden

 

War leider nix .. ...

AntiVir hat wieder was gefunden. Jetzt geb ich es auf, ich weiß nix mehr

 

Hallo,

ich glaube das wurde schon gepostet, löschen und fixen nur im "Abgesicherten Modus" bei deaktivierter Systemwiederherstellung.

Hier lesen ..

Bundesamt für Sicherheit in der Informationstechnologie (BSI)

Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

http://www.bsi.de/av/texte/wiederher_xp.htm

 

Ich glaube, jetzt geht wieder alles. AntiVir findet nichts mehr, die .dll ist weg. Ist der HJ-Log okay, was meint ihr?

Ich danke allen, die mir hier so toll geholfen haben!!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:48:14, on 11.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\PowerKey.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\OSDCtrl.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 3325 bytes

 

Hallo,

das HiJackThis-Log ist jetzt sauber, nicht mehr zu sehen.
Du kannst noch eine Prüfung mit MBAM durchführen, ich denke das findet noch eventuell versteckte Registry-Einträge oder Sekundär-Infektionen:

MBAM - Malwarebytes Anti-Malware:
http://virus-protect.org/artikel/tools/malwarebytes.html

Vor dem Scan würde ich den TeaTimer von S&D deaktivieren.
Funktioniert der Internet-Zugang mit dem Rechner wieder ?.