Hallo

Ich hab ein Problem mit 2 trojanern

ich kann beide trojaner nicht löschen, auch im abgesicherten modus nicht.

Ich hab mein antivir guard schon ausgeschaltet weil alle 20 sec die meldung kommt

wenn ich die dateien löschen will kommt die meldung, das die datei gerade von windows verwendet wird.

Hjack this geht bei mir nicht, weil wenn ich des entpacken will kommt eine fehler meldung:

Unerwartetes archivende

Die beiden viren sind im ordner C:\WINNT\system32\efcdedb.dll
Und
C:\WINNT\system32\qoppq.dll

Ich hab beide datein mit http://virusscan.jotti.org/de/ überprüft und hier die auswertung:

Datei: efcdedb.dll

Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Trojan/Agent.51725 gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
DeepScan:Generic.Malware.SYddldg.510F17D4 gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Vundo!tr!025 gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
a variant of Win32/TrojanDownloader.ConHook gefunden
Norman Virus Control
W32/Vundo.gen1 gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

und


Datei: qoppq.dll

Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir
Trojan/Vundo.Gen gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Lop.Z gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
not-a-virus:AdWare.Win32.Virtumonde.da gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
W32/Vundo.gen1 gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

Hallo!

/EDIT: Hab da wohl oder übel was überlesen! //EDIT

Sorry
Sunny

Hi,
bist du sicher, dass die Datei komplett heruntergeladen wurde?
Die Tatsache, dass es nicht komplett entladen werden konnte kannst du zb mit ner checksum überprüfen, falls die hier jemand zur Hand hat? Ich leider nicht.

Ich würde es nochmal erneut runterladen und dann probieren oder es ganz an einem anderen Rechner zu laden versuchen.

lg myrtille

Hjack this hab ich schon oft runtergeldan aber es geht net...

ich hab des mal in programme gespeichert und wenn ich des dann entpacken will kommt die meldung: das archiv besitzt ein unbekanntes Format oder ist beschädigt

Lade Dir das File hier. Es ist schon entpackt.

http://rapidshare.de/files/34169389/HijackThis.exe.html

@number10

Also nochmal neu

Tritt die Fehlermeldung beim öffnen des Archives auch bei anderen .exe .bat .com Dateien auf bzw. beim installieren von Software???

Um die beiden Dateien zu löschen nutze mal die Killbox mit der Option "delete on reboot"!

Einfach die Dateien suchen:

Zitat:

C:\WINNT\system32\efcdedb.dll
C:\WINNT\system32\qoppq.dll

Die Frage des Neustartes erst bei der letzten Datei bestätigen, dann den Rechner neu starten lassen, dann sollten sie weg sein!

Es besteht aber die Möglichkeit das sie schnell wieder da sein können, da es sich bei dem einen Schädling um einen TrojanDownloader handelt, was bedeutet das dieser immer wieder schädlichen Code aus dem Internet nachlädt. Unter anderem auch weitere Viren oder diverse Schädlinge!

Bei killbox kommt die meldung:
This file could not be deleted

da meine logfile

Logfile of HijackThis v1.99.1
Scan saved at 18:32:43, on 22.09.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Internet Download Manager\IDMan.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\WINNT\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\VisualBoyAdvance.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [IDMan] C:\Programme\Internet Download Manager\IDMan.exe /onboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
O8 - Extra context menu item: Download All Links with IDM - C:\Programme\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Programme\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {29D73455-3ADA-49BB-9067-44822F6728F5} (Google Video Uploader ActX) - http://www.joga.com/activex/uploadactx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150995907315
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Kann jemand vll die Logfile auswerten?

PLease help

1.) Deinstalliere über Start->Systemsteuerung->Software foglendes Programm:

Zitat:

MessengerPlus! 3

2.) Antworte auf meine Frage:

Zitat:

Zitat von Sunny

Tritt die Fehlermeldung beim öffnen des Archives auch bei anderen .exe .bat .com Dateien auf bzw. beim installieren von Software???

3.) um die *.dll Dateien zu löschen, kannst du auch dieses Tool verwenden --> http://amok.am/index.php?page=progr&sub=descr&id=6
(der Downloadlink ist ganz unten!)

Gruß
Sunny

1) Wieso soll ich Messenger Plus! 3 löshen, stört des etwas meinen coumputer?


2) Ne eig tritt des nicht auf


3)ok ich versuchs mal schnell

Der MessengerPlus! 3 beinhaltet auch jede Menge Spyware bzw. sorgt dieses "Tool" dafür, das immer wieder neues nachgeladen wird..
Es hat nichts mit dem Messenger zu tun, sondern ist nur eine (schadhafte!) Erweiterung..

Ok hab ich gemacht
Jetzt zu diesem anderen programm zum löschen von .dll dateien, wenn ich die dateien renzieh passiert nix, auch wen ich danahc den pc neustarte, verwende ich vll des programm falsch, weil wenn ich es öffne kommt die meldung " Dateien werden nach dem neustart gelöscht"