vbsys2.dll infiziert mit TR/Spam.AvaFX , wie kann ich den löschen???

Spain · 08.12.2004, 00:42

hi,

Die Datei vbsys2.dll ist mit dem trojaner TR/Spam.AvaFX infiziert, da es sich um eine DLL Datei in C:\Windows\System32 handelt, weiss ich nicht ob ich sie bedenkenlos löschen kann?
Wisst ihr da was genaueres?

Mein System:
WinXP Prof.
Internet Browser: Internet Explorer 6.0
VirenScanner: AntiVir

HILFE: wie kann ich den Trojaner entfernen

-Spain-

cronos · 08.12.2004, 01:27

Da das O sehr nahe bei dem I liegt, hoffe ich, dass du in dem Pfad wIndows und nicht wOndows gemeint ist.

Nichts desto trotz...ohne erstmal auf deine .dlls einzugehen:

Da du nichts von nem Service Pack-das zweite ist ja das aktuellste- erzählt hast, bitte ich dich einen Log von Hijackthis hier im Board zu posten.
Evtl. liegt da mehr im argen als du denkst.

Spain · 08.12.2004, 03:52

Oh stimmt, schreibfehler,..sorry *g* ..natürlich sollte das Windows heissen und nicht wondows *g* ...
naja und ich hab gar kein service pack drauf.

also hier der Log, aber ich versteh nicht, wieso ganz unten bei vbsys2.dll file missing steht:

Logfile of HijackThis v1.98.2
Scan saved at 03:43:16, on 08.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CleverCache\OOCCSVC.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
F:\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\anvshell.exe
C:\WINDOWS\System32\ctfmon.exe
F:\Downloads\hijackthis1982\HijackThis.exe

O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - f:\Go!Zilla\GoIEHlp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] F:\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download with Go!Zilla - file://f:\Go!Zilla\download-with-gozilla.html
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - file://c:\x.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

chaosman · 08.12.2004, 08:36

@Spain
update bitte dein system und IE
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
gozilla kuckst du hier
http://www.oit.duke.edu/ats/support/...e/gozilla.html
wechsle in den abgesicherten modus und fixe(häkchen setzen und Fix Checked klicken)
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - f:\Go!Zilla\GoIEHlp.dll
O8 - Extra context menu item: Download with Go!Zilla - file://f:\Go!Zilla\download-with-gozilla.html
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - file://c:\x.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
lösche danach manuell
C:\WINDOWS\System32\vbsys2
f:\Go!Zilla
f:\Go!Zilla\GoIEHlp.dll
neu starten, benütze lieber den LeechGet
neues HJT logfile posten
chaosman

Spain · 08.12.2004, 14:00

Was meinst du genau mit manuell löschen:
f:\Go!Zilla
f:\Go!Zilla\GoIEHlp.dll

Soll ich das deinstallieren in Systemsteuerung/Software ,
oder soll ich einfach auf Laufwerk F:\ die Datei und das Verzeichniss löschen direkt löschen?

Spain · 08.12.2004, 17:13

hi,
also die Datei GoIEHlp.dll konnte ich nachdem ich mit HJT die sachen entfernt habe nicht mehr löschen, da die datei verschwunden ist.
Es ist übrigens wärend ich mit HJT diese Einträge gelöscht habe, eine Fehlermeldung aufgetreten, weis aber nicht mehr was drin stand :\ ...

Nun,... das Verzeichnis F:\Go!Zilla soll ich das löschen oder Go!Zilla an sich deinstallieren?

Also hier ist bis jetzt die neue Log-File:

Logfile of HijackThis v1.98.2
Scan saved at 16:57:37, on 08.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\Downloads\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir...0&plcid=0x0407
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] F:\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

vbsys2.dll infiziert mit TR/Spam.AvaFX , wie kann ich den löschen???

Plagegeister aller Art und deren Bekämpfung: vbsys2.dll infiziert mit TR/Spam.AvaFX , wie kann ich den löschen???