problem mit trojaner oder spyware (weiss leider selbst nicht genau =( )

MiaSetsFire · 31.05.2007, 19:46

Hallo erstmal!
also: ich hab folgendes problem: ich nutze f-secure als antivirus, ich hatte aus versehen mal das datum verstellt (was ich erst spaeter rausgefunden hab), und mein f-secure sagte mir ne woche lang meine virus definitionen waeren zu alt, bis ich denn aber ueberhaupt verstanden hab, was genau sich verstellt hat (kommt man ja auch nicht unbedingt drauf, dass man auf das datum im kalender gucken muss Oo), anyways, bis ich das problem beseitigt habe, hab ich mir wohl irgendwas eingefangen. es gehen naemlich immer von alleine ie fenster auf (dabei nutz ich kein ie und hab es noch nicht mal aktiv Oo), die mir irgendwas von antiviren und xxx seiten erzaehlen. ich vermute mal es wuerde ein spyware sein, allerdings: sobald die fenster aufgehn, meldet sich mein fsecure und sagt mir ich haette nen trojaner im sys32, die ich geloescht hab (was wahrscheinlich falsch war Oo)

ich habe gerade nen scan gemacht und mein antivir hat nen paar deteien uebersprungen, aber keine viren / spyware gefunden das is der log:

Files not scanned:

* Cannot open file C:\hiberfil.sys
* Cannot open file C:\pagefile.sys
* Cannot open file C:\WINDOWS\system32\config\default
* Cannot open file C:\Documents and Settings\****\Local Settings\Temp\~ROMFN_00000910
* File D:\SYS\****\WinZip.v9.0.6028.Corporate\WinZip.v9.0.6028.Corporate.exe\SETUP.WZ\WINZIP32.EX_ is encrypted
* Scanning of D:\SYS\****\Nero RUS 7.2.0.3\Nero-7.2.0.3b_rus_no_yt.exe was aborted [F-Secure AVP]

dann hab ich das mit HiJackThis versucht und das is das was er rausspuckt:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:34:24, on 31.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\Program Files\F-Secure\Anti-Virus\fsrw.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\F-Secure\ANTI-S~1\fsaw.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Last.fm\LastFM.exe
C:\Program Files\qip8020\QIP.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Documents and Settings\****\Desktop\HiJackThis_v2.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8071E65A-3F56-4426-8372-8667CD213057} - C:\WINDOWS\system32\tuvspnk.dll
O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:\WINDOWS\system32\bbwtgvku.dll
O2 - BHO: (no name) - {EB6995D9-15A8-4369-848F-56F0F95272DD} - C:\WINDOWS\system32\pmkjj.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\hjmgtyxm.dll",realset
O4 - HKLM\..\Run: [j3201130] rundll32 C:\WINDOWS\system32\j3201130.dll sook
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\Program Files\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Block this popup - C:\Program Files\F-Secure\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure\Anti-Spyware\ieshield.dll
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151680463250
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: pmkjj - C:\WINDOWS\system32\pmkjj.dll
O20 - Winlogon Notify: tuvspnk - C:\WINDOWS\SYSTEM32\tuvspnk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - Unknown owner - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - Unknown owner - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

bitte helft mir, ich bin grad echt total verzweifelt, weil ich glaub es war scheisse irgendwas zu loeschen.
aber ich bin grad echt traenennahe =(

waehrend ich hier schreibe ist mir ein fenster von der seite: systemdoctor.com aufgegangen, was unbedingt mein rechner scannen wollte. =( bitte helft mir

Win32/Jeefo · 31.05.2007, 19:54

Sieht mir auf einen Schlag beim Überfliegen wie Vundo und noch'n paar lustige Gesellen aus

Aufrufen, oben rechts ins weiße Kästchen "C:\WINDOWS\system32\pmkjj.dll" schreiben und den Button "Send" klicken. Ist schonmal 100% schädlich, aber ich will wissen, was es genau ist. warte ab, bis oben "Status:Finished" steht. Kopiere das Ergebnis dann hier rein.

Sieht echt zugemüllt aus.

MiaSetsFire · 31.05.2007, 20:10

Danke fuer deine schnelle antwort, hattest recht ist vundo, in meinem anti-virus =( wie krieg ich denn weg?! und noch was: war es sinnvoll die befallene sys32 dateien zu loeschen?

Complete scanning result of "pmkjj.dll", received in VirusTotal at 05.31.2007, 21:00:24 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 05.31.2007 no virus found
AntiVir 7.4.0.29 05.31.2007 ADSPY/Virtumon.v.17
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 05.30.2007 no virus found
AVG 7.5.0.467 05.31.2007 Adware Generic2.CNB
BitDefender 7.2 05.31.2007 no virus found
CAT-QuickHeal 9.00 05.31.2007 no virus found
ClamAV devel-20070416 05.31.2007 no virus found
DrWeb 4.33 05.31.2007 Trojan.Virtumod
eSafe 7.0.15.0 05.31.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3679 05.31.2007 no virus found
Ewido 4.0 05.31.2007 no virus found
FileAdvisor 1 05.31.2007 no virus found
Fortinet 2.85.0.0 05.31.2007 no virus found
F-Prot 4.3.2.48 05.31.2007 no virus found
F-Secure 6.70.13030.0 05.31.2007 Vundo.gen26
Ikarus T3.1.1.8 05.31.2007 not-a-virus:AdWare.Win32.Virtumonde.fp
Kaspersky 4.0.2.24 05.31.2007 not-a-virus:AdWare.Win32.Virtumonde.fp
McAfee 5043 05.31.2007 no virus found
Microsoft 1.2503 05.31.2007 no virus found
NOD32v2 2301 05.31.2007 no virus found
Norman 5.80.02 05.31.2007 Vundo.gen26
Panda 9.0.0.4 05.31.2007 Suspicious file
Prevx1 V2 05.31.2007 no virus found
Sophos 4.18.0 05.31.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 VIPRE.Suspicious
Symantec 10 05.31.2007 no virus found
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 05.30.2007 no virus found
VirusBuster 4.3.23:9 05.31.2007 no virus found
Webwasher-Gateway 6.0.1 05.31.2007 Ad-Spyware.Virtumon.v.17

Aditional Information
File size: 263220 bytes
MD5: 0b341861a65dd9b8ef925947923d26d1
SHA1: c233663b0e67c0478e6ec5e1dadfe70cdd4522b9
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

(falls es scheisse zu lesen is: das der link ::::: VirusTotal :::::

Win32/Jeefo · 31.05.2007, 20:28

Scanne nochmal mit Hijackthis, poste diesmal aber nicht den Log hier, sondern Suche im programm die Einträge:

O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\hjmgtyxm.dll",realset

und

O4 - HKLM\..\Run: [j3201130] rundll32 C:\WINDOWS\system32\j3201130.dll sook

und setze einen haken in das Kästchen vor ihnen.

Dann klickst du unten auf " Fix checked"

Auf www.virustotal.com

C:\WINDOWS\system32\hjmgtyxm.dll

das

und

C:\WINDOWS\system32\j3201130.dll

das und

C:\WINDOWS\system32\bbwtgvku.dll

das
und

C:\WINDOWS\system32\tuvspnk.dll

das checken.

Sind wahrscheinlich alles Schädlinge.

Während du die bei Virustotal scannst kannst du das Combofix durchlaufen lassen.

Log dann hier posten

Abarbeiten und hier den log, der nach dem scannen erscheint posten.

MiaSetsFire · 31.05.2007, 21:17

also: hab alles durchlaufen lassen: hier sind die logs:

Complete scanning result of "hjmgtyxm.dll", received in VirusTotal at 05.31.2007, 21:51:56 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 05.31.2007 Win-Trojan/Virtumonde.132660
AntiVir 7.4.0.29 05.31.2007 ADSPY/Virtumonde.AR.4
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 05.30.2007 no virus found
AVG 7.5.0.467 05.31.2007 Adware Generic2.CEU
BitDefender 7.2 05.31.2007 Trojan.Vundo.AY
CAT-QuickHeal 9.00 05.31.2007 AdWare.Virtumonde.ar (Not a Virus)
ClamAV devel-20070416 05.31.2007 Trojan.Packed-7
DrWeb 4.33 05.31.2007 Trojan.Virtumod
eSafe 7.0.15.0 05.31.2007 no virus found
eTrust-Vet 30.7.3679 05.31.2007 Win32/Vundo.CR
Ewido 4.0 05.31.2007 no virus found
FileAdvisor 1 05.31.2007 no virus found
Fortinet 2.85.0.0 05.31.2007 suspicious
F-Prot 4.3.2.48 05.31.2007 no virus found
F-Secure 6.70.13030.0 05.31.2007 W32/Vundo.gen25
Ikarus T3.1.1.8 05.31.2007 not-a-virus:AdWare.Win32.Virtumonde.ar
Kaspersky 4.0.2.24 05.31.2007 not-a-virus:AdWare.Win32.Virtumonde.ar
McAfee 5043 05.31.2007 potentially unwanted program Vundo
Microsoft 1.2503 05.31.2007 no virus found
NOD32v2 2301 05.31.2007 Win32/Adware.Virtumonde
Norman 5.80.02 05.31.2007 W32/Virtumonde.GUU
Panda 9.0.0.4 05.31.2007 Spyware/Virtumonde
Prevx1 V2 05.31.2007 no virus found
Sophos 4.18.0 05.31.2007 Virtumundo
Sunbelt 2.2.907.0 05.30.2007 VIPRE.Suspicious
Symantec 10 05.31.2007 Trojan.Vundo
TheHacker 6.1.6.128 05.31.2007 Adware/Virtumonde.ar
VBA32 3.12.0 05.30.2007 AdWare.Win32.Virtumonde.ar
VirusBuster 4.3.23:9 05.31.2007 Adware.Vundo.Gen!Pac.14
Webwasher-Gateway 6.0.1 05.31.2007 Ad-Spyware.Virtumonde.AR.4

Aditional Information
File size: 132660 bytes
MD5: 5a849e4fcaec2e383c3c839a0951e4ad
SHA1: a3bc63455f65aee49f255fa232c05853c0ca0344
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Complete scanning result of "j3201130.dll_", received in VirusTotal at 05.31.2007, 21:52:33 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 05.31.2007 no virus found
AntiVir 7.4.0.29 05.31.2007 no virus found
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 05.30.2007 no virus found
AVG 7.5.0.467 05.31.2007 no virus found
BitDefender 7.2 05.31.2007 no virus found
CAT-QuickHeal 9.00 05.31.2007 no virus found
ClamAV devel-20070416 05.31.2007 no virus found
DrWeb 4.33 05.31.2007 no virus found
eSafe 7.0.15.0 05.31.2007 no virus found
eTrust-Vet 30.7.3679 05.31.2007 no virus found
Ewido 4.0 05.31.2007 no virus found
FileAdvisor 1 05.31.2007 no virus found
Fortinet 2.85.0.0 05.31.2007 no virus found
F-Prot 4.3.2.48 05.31.2007 no virus found
F-Secure 6.70.13030.0 05.31.2007 no virus found
Ikarus T3.1.1.8 05.31.2007 no virus found
Kaspersky 4.0.2.24 05.31.2007 no virus found
McAfee 5043 05.31.2007 no virus found
Microsoft 1.2503 05.31.2007 no virus found
NOD32v2 2301 05.31.2007 no virus found
Norman 5.80.02 05.31.2007 no virus found
Panda 9.0.0.4 05.31.2007 no virus found
Sophos 4.18.0 05.31.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 no virus found
Symantec 10 05.31.2007 no virus found
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 05.30.2007 no virus found
VirusBuster 4.3.23:9 05.31.2007 no virus found
Webwasher-Gateway 6.0.1 05.31.2007 no virus found

Aditional Information
File size: 10752 bytes
MD5: 5d514d506ec6df7f7df8369034959a3a
SHA1: 5ed983756e8ba4ae8ebd30988ef9612d4d9d3d63

Complete scanning result of "bbwtgvku.dll", received in VirusTotal at 05.31.2007, 21:52:43 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 05.31.2007 no virus found
AntiVir 7.4.0.29 05.31.2007 TR/Vundo.Gen
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 05.30.2007 no virus found
AVG 7.5.0.467 05.31.2007 no virus found
BitDefender 7.2 05.31.2007 no virus found
CAT-QuickHeal 9.00 05.31.2007 no virus found
ClamAV devel-20070416 05.31.2007 Trojan.Packed-7
DrWeb 4.33 05.31.2007 Trojan.Virtumod
eSafe 7.0.15.0 05.31.2007 no virus found
eTrust-Vet 30.7.3679 05.31.2007 no virus found
Ewido 4.0 05.31.2007 no virus found
FileAdvisor 1 05.31.2007 no virus found
Fortinet 2.85.0.0 05.31.2007 suspicious
F-Prot 4.3.2.48 05.31.2007 no virus found
F-Secure 6.70.13030.0 05.31.2007 no virus found
Ikarus T3.1.1.8 05.31.2007 no virus found
Kaspersky 4.0.2.24 05.31.2007 no virus found
McAfee 5043 05.31.2007 no virus found
Microsoft 1.2503 05.31.2007 no virus found
NOD32v2 2301 05.31.2007 no virus found
Norman 5.80.02 05.31.2007 no virus found
Panda 9.0.0.4 05.31.2007 Suspicious file
Sophos 4.18.0 05.31.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 VIPRE.Suspicious
Symantec 10 05.31.2007 no virus found
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 05.30.2007 no virus found
VirusBuster 4.3.23:9 05.31.2007 Adware.Vundo.Gen!Pac.14
Webwasher-Gateway 6.0.1 05.31.2007 Trojan.Vundo.Gen

Aditional Information
File size: 50740 bytes
MD5: 57764d0122a9c8827bd1cbc7b6b48dec
SHA1: d7e4fab7d5ac0a08da292be615ec4c5fb6b3b916
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

AhnLab-V3 2007.5.31.2 05.31.2007 no virus found
AntiVir 7.4.0.29 05.31.2007 TR/Spy.CptHook.2
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 05.30.2007 no virus found
AVG 7.5.0.467 05.31.2007 Lop.CB
BitDefender 7.2 05.31.2007 no virus found
CAT-QuickHeal 9.00 05.31.2007 no virus found
ClamAV devel-20070416 05.31.2007 no virus found
DrWeb 4.33 05.31.2007 no virus found
eSafe 7.0.15.0 05.31.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3679 05.31.2007 no virus found
Ewido 4.0 05.31.2007 Adware.Virtumonde
FileAdvisor 1 05.31.2007 no virus found
Fortinet 2.85.0.0 05.31.2007 no virus found
F-Prot 4.3.2.48 05.31.2007 no virus found
F-Secure 6.70.13030.0 05.31.2007 no virus found
Ikarus T3.1.1.8 05.31.2007 Backdoor.Win32.Prorat.19.i
Kaspersky 4.0.2.24 05.31.2007 not-a-virus:AdWare.Win32.Virtumonde.jp
McAfee 5043 05.31.2007 no virus found
Microsoft 1.2503 05.31.2007 no virus found
NOD32v2 2301 05.31.2007 no virus found
Norman 5.80.02 05.31.2007 W32/Virtumonde.dam
Panda 9.0.0.4 05.31.2007 Suspicious file
Prevx1 V2 05.31.2007 SpywareQuake
Sophos 4.18.0 05.31.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 VIPRE.Suspicious
Symantec 10 05.31.2007 no virus found
TheHacker 6.1.6.128 05.31.2007 Adware/Virtumonde.jp
VBA32 3.12.0 05.30.2007 AdWare.Win32.Virtumonde.jp
VirusBuster 4.3.23:9 05.31.2007 Adware.Vundo.Gen!Pac.13
Webwasher-Gateway 6.0.1 05.31.2007 Trojan.Spy.CptHook.2

Aditional Information
File size: 29206 bytes
MD5: 4e7673565de76b08e7b259b81c88c441
SHA1: 67f76462717ee517fb90d1bb2e099dc060edd168
Prevx info: TUVTSQP.DLL Spyware Remove
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

und hier vom combofix:

"Bysy" - 2007-05-31 22:07:32 Service Pack 2
ComboFix 07-05.27.BV - Running from: "C:\Documents and Settings\Bysy\Desktop\"

((((((((((((((((((((((((((((((( Files Created from 2007-04-28 to 2007-05-31 ))))))))))))))))))))))))))))))))))

2007-05-30 19:53 14,868 --a------ C:\WINDOWS\system32\mgqsgrfk.exe
2007-05-30 19:53 10,752 --a------ C:\WINDOWS\system32\j3201130.dll
2007-05-12 15:44 <DIR> d-------- C:\Program Files\qip8020
2007-04-25 15:40 <DIR> d-------- C:\DOCUME~1\****\APPLIC~1\ICQ
2007-04-25 15:39 <DIR> d-------- C:\Program Files\ICQ6

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-28 15:45:10 -------- d-----w C:\Program Files\Last.fm
2007-06-28 15:28:46 -------- d-----w C:\DOCUME~1\Bysy\APPLIC~1\F-Secure
2007-04-25 13:41:18 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-03-12 15:49:51 218,624 ----a-w C:\WINDOWS\system32\uxtheme.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-13 23:56]
{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}=C:\Program Files\BitComet\tools\BitCometBHO.dll [2006-11-29 15:52]
{45AD732C-2CE2-4666-B366-B2214AD57A49}=C:\Program Files\Desktop Sidebar\sbhelp.dll [2006-07-09 23:06]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2005-11-21 17:51 C:\WINDOWS\system32\nwiz.exe]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-10-21 08:26]
"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 09:55]
"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 09:56]
"EOUApp"="C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe" [2005-12-28 10:00]
"Wireless Console 2"="C:\Program Files\Wireless Console 2\wcourier.exe" [2005-10-17 15:09]
"Power_Gear"="C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe" [2005-10-05 15:50]
"ASUS Live Update"="C:\Program Files\ASUS\ASUS Live Update\ALU.exe" [2005-11-02 17:33]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 15:07 C:\WINDOWS\system32\HdAShCut.exe]
"SMSERIAL"="sm56hlpr.exe" []
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-10-06 16:03]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-06-30 19:21]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 14:40]
"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.exe" [2005-10-26 03:51]
"F-Secure TNB"="C:\Program Files\F-Secure\TNB\TNBUtil.exe" [2004-05-27 10:57]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"@"="" []
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 22:56]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-03 23:06]
"STYLEXP"="C:\Program Files\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 20:31]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*

Contents of the 'Scheduled Tasks' folder
2007-05-31 17:45:01 C:\WINDOWS\tasks\Scheduled scanning task.job

********************************************************************

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-31 22:10:13
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

********************************************************************

Completion time: 2007-05-31 22:11:19
C:\ComboFix-quarantined-files.txt ... 2007-05-31 22:10

--- E O F ---

Win32/Jeefo · 31.05.2007, 21:23

Saugen:

www.atribune.org - Home

* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

(Quelle Anleitung: virus-protect.org)

danach aktuellen HJT-Log hier posten.

MiaSetsFire · 31.05.2007, 21:42

bevor ich das mach: was passiert denn nach dem neustart dann?!

und noch was: ich hab ne verknuepfung vom ie auffem desktop, seit neustem hab ich aber nochn symbol (was keine verknuepfung ist) vom ie, wenn ich rechtsklick / eigenschaften geh zeigt er mir kein pfad ein, wo es sich befindet, wenn ich drauf geh, sagt mein antivir nicht, dass es ein virus ist. was ist das dann? und wo kommt es her?!!? Oo

Win32/Jeefo · 31.05.2007, 21:45

Du hast mehrere Trojaner. Auch unter anderem Vundo. Und das Programm, also VundoFix löscht Vundo normalerweise.

Ist die sicherste Lösung. hast aber noch mehr Trojaner, aber erst wollte ich Vundo wegbekommen.
Ein Screenshot von dem Avatar wäre bestimmt hilfreich.

Probier mal den Vundofix!

MiaSetsFire · 31.05.2007, 21:55

http://i136.photobucket.com/albums/q...e_screenie.jpg

so, was ich jetzt nicht verstehe: kommen meine desktop symbole nachhem neustart wieder?! ich mein ist ja nicht das grossartige problem die verknuepfungen auffem desktop zu ziehen, geht um die system sachen die arbeitsplatz / papierkorb wieder

Win32/Jeefo · 31.05.2007, 21:57

Hast du das mit dem Vundo-Fix schon gemacht?

MiaSetsFire · 31.05.2007, 22:00

ne weil ich mich frag, ob die symbole wieder da sind Oo

Win32/Jeefo · 31.05.2007, 22:04

Natürlich sind sie wieder da! Warum sollten sie weg sein?

das Programm heißt ja nicht "PC-Daten-Killer" sondern ist ein vielfach erprobtes, wahrscheinlich sicherste Tool zum Entfernen des Trojaners "Vundo".

MiaSetsFire · 31.05.2007, 22:08

AEHM Oo WTF?! der findet bei mir keine vundo's Oo

Win32/Jeefo · 31.05.2007, 22:19

Downloaden, unten gepostetes reinposten, auf die grüne Ampel klciken, dein PC wird wird neustarten. Poste dann deinen HJT-Report nochmal.

Files to delete:
C:\WINDOWS\system32\hjmgtyxm.dll
C:\WINDOWS\system32\bbwtgvku.dll
C:\WINDOWS\system32\tuvspnk.dll

MiaSetsFire · 31.05.2007, 22:25

da is kein link Oo
oder meinste wieder das vundofix?

problem mit trojaner oder spyware (weiss leider selbst nicht genau =( )

Log-Analyse und Auswertung: problem mit trojaner oder spyware (weiss leider selbst nicht genau =( )