Hallo an alle!

Ich möchte mich schonmal GANZ herzlich bedanken für jegliche hilfe aller art. Für euch wirds sicher ein Kinderspiel, aber ich bin ratlos. Ich benutze Firefox und habe neulich auf einer nicht ganz koscheren(?) Seite etwas heruntergeladen und blind eine exe ausgeführt. ... die Strafe folgte sofort.. 3-4 mal am Tag geht mein IE auf und zeigt Werbung an oder will ein "anti-virus"-programm runterladen -.-

Hier mein Logfile

Logfile of HijackThis v1.99.1
Scan saved at 10:00:27, on 07.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dennis\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [itype] "c:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\tpafcnen.dll",forkonce
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Danke schonmal ! grüße, Dennis

Folgende Datei bei Virustotal überprüfen:

C:\WINDOWS\system32\tpafcnen.dll

Link in meiner Signatur. Einfach in das weiße Kästchen oben rechts auf der Seite schreiben und den "Send" Button betätigen. Der Scan ist beendet wenn der Status auf "finished" steht.



Abkopieren und hier posten.

hey jeefo, danke


scheint ja ein treffer zu sein

Code: Alles auswählenAufklappen

ATTFilter

Complete scanning result of "tpafcnen.dll", received in VirusTotal at 07.07.2007, 10:24:08 (CET).

Antivirus	Version	Update	Result
AhnLab-V3	2007.7.7.0	07.06.2007	no virus found
AntiVir	7.4.0.39	07.06.2007	no virus found
Authentium	4.93.8	07.07.2007	no virus found
Avast	4.7.997.0	07.06.2007	no virus found
AVG	7.5.0.476	07.06.2007	no virus found
BitDefender	7.2	07.07.2007	no virus found
CAT-QuickHeal	9.00	07.06.2007	no virus found
ClamAV	devel-20070416	07.06.2007	no virus found
DrWeb	4.33	07.07.2007	Trojan.Virtumod
eSafe	7.0.15.0	07.06.2007	Suspicious Trojan/Worm
eTrust-Vet	30.8.3769	07.07.2007	no virus found
Ewido	4.0	07.06.2007	no virus found
FileAdvisor	1	07.07.2007	no virus found
Fortinet	2.91.0.0	07.07.2007	no virus found
F-Prot	4.3.2.48	07.06.2007	no virus found
F-Secure	6.70.13260.0	07.06.2007	no virus found
Ikarus	T3.1.1.8	07.07.2007	Trojan-PWS.Gamania.B
Kaspersky	4.0.2.24	07.07.2007	no virus found
McAfee	5069	07.06.2007	no virus found
Microsoft	1.2704	07.07.2007	no virus found
NOD32v2	2383	07.06.2007	no virus found
Norman	5.80.02	07.06.2007	no virus found
Panda	9.0.0.4	07.07.2007	Suspicious file
Sophos	4.19.0	07.06.2007	no virus found
Sunbelt	2.2.907.0	07.07.2007	VIPRE.Suspicious
Symantec	10	07.07.2007	Trojan.Vundo
TheHacker	6.1.6.143	07.05.2007	no virus found
VBA32	3.12.0.2	07.07.2007	no virus found
VirusBuster	4.3.23:9	07.06.2007	no virus found
Webwasher-Gateway	6.0.1	07.07.2007	Virus.Win32.FileInfector.gen (suspicious)

Aditional Information
File size: 128576 bytes
MD5: 02901384b2a1683803c9ae8d8160f207
SHA1: 3bec21c0a41f32b78ab67f2dc24c160066505973
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
         

Hm, lade dir den Vundofix, link in meiner Signatur. Öffnen:

-> Scan for Vundo
Dann wenn, Treffer erschienen sind:

-> Remove Vundo


Ich weiß nicht mehr, ob dein PC sich neustarten wird, kann aber sein.

Erstelle zum Schluss ein neues Hijackthis-Log und erstatte Meldung über den Vundofix. (Treffer usw. ) Wenn der Vundofix nichts findet, poste dies hier.

hey werd ich machen



hab irgendwie immer meldungen von diesem programm
http://www.sophos.de/security/analyses/winantiviruspro.html

und er will es runterladen Oo


ich werd das mal machen was du geschrieben hast

Das würde ich dir empfehlen, dürfte auch nur 10 Minuten dauern. Und Vundo ist sehr weit verbreitet und auch gefährlich, deshalb solltest du nicht zögern. Das ist wohl dein größtes Problem, vielleicht sind die anderen Probleme schon damit behoben, dass du dieses Problem löst, wenn nicht, werden wir uns darum nachher kümmern, wenn wir Vundo wegbekommen haben.

inwiefern denn gefährlich? Trojaner?

also vundo hat er gefunden (waren einige dateien) und ich habe sie entfernen lassen. PC neustart war grade dran.
jetzt sieht mein hjacklog so aus:


Logfile of HijackThis v1.99.1
Scan saved at 11:24:55, on 07.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\Dennis\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {634C7583-74C6-4FEF-BD06-9721761A6815} - C:\WINDOWS\system32\xxyawxv.dll (file missing)
O2 - BHO: (no name) - {75187D67-61FF-4BEF-89CC-56A99B2437AE} - C:\WINDOWS\system32\awtqn.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [itype] "c:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ist weg!


Scanne mit HijackThis nochmal und setze dann vor folgende Einträge ( Suchen! ) Einen Haken:


O2 - BHO: (no name) - {75187D67-61FF-4BEF-89CC-56A99B2437AE} - C:\WINDOWS\system32\awtqn.dll (file missing)


O2 - BHO: (no name) - {634C7583-74C6-4FEF-BD06-9721761A6815} - C:\WINDOWS\system32\xxyawxv.dll (file missing)




und betätige den Button "Fix checked".


Der Trojaner Vundo ist nun entfernt. Jetzt dürften sich die Pop-Ups erledigt haben, wenn nicht, poste nochmal hier. Meine Hand lege ich allerdings nicht ins Feuer, lediglich der Trojaner Vundo wurde entfernt, das war alles Schädliche, was man aus dem Log sehen konnte, der jetzt sauber ist. Aber das muss nichts heißen. Wenn du noch Fragen hast, kannst du die gerne stellen.

Fragen habe ich nicht nein!

Aber ein ganz herzliches Danke nochmal für deine Hilfe!!! Das hat mir wohl viele Stunden Neuinstallation erspart

Kein Problem