fccyyay.dll und jkhhg.dll

Felile · 04.09.2007, 00:17

Ich habe es mit jkhhg.dll und fccyyay.dll ein problem

Sind beides Trojaner un ich kann sie nicht löschen, weil Windows sagt dass man die datei nicht löschen kann weil sie gerade verwendet wird...

Mein virenprogramm schlägt alle 2 sekunden an, und zeigt immer wieder die gleichen viren..... wenn ich dann auf löschen drücke kommt wieder die selbe meldung....

Bitte schnelle Hilfe!!!!!

nochdigger · 04.09.2007, 04:57

Hallo

mach zuerst bitte alle versteckten Dateien und Ordner sichtbar.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

Zitat:

Ich habe es mit jkhhg.dll und fccyyay.dll ein problem

lass die beiden Dateien (vmtl. Vundo) hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 29 AntiVirus Engine, Last Update(070821)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Felile · 04.09.2007, 13:21

bei Hijack This kamm dass heraus:

Logfile of HijackThis v1.99.1
Scan saved at 14:10:09, on 04.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Trust\GM-4200 Gamer Mouse Optical\Panel.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Feli\Desktop\This.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.huddi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0407/bl7.asp
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2FAE89B3-CC37-4BD9-98FE-7869B5DA952D} - C:\WINDOWS\system32\jkhhg.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {C1ADC5ED-FB26-4770-AFE5-BD3A7EB5C148} - C:\WINDOWS\system32\fccyyay.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Trust Gaming mouse] "C:\Programme\Trust\GM-4200 Gamer Mouse Optical\Panel.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: fccyyay - C:\WINDOWS\SYSTEM32\fccyyay.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: jkhhg - C:\WINDOWS\system32\jkhhg.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Unknown owner - c:\progra~1\pinnacle\shared~1\programs\medias~1\pmshost.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe

Bei Jotti kam dass heraus:

Scan Ergebnis
Scan Ergebnis : 33% der Scanner (10/30) haben Malware gefunden!
Zeit : 2007/09/04 14:17:48 (CEST)
Scanner ↓ Engine Ver Sig Ver Sig Datum Scan Ergebnis Zeit
A-Squared 3.0.0.123 2007.09.03 2007-09-03
-
4.067
AntiVir 7.4.1.66 6.39.1.85 2007-09-04
TR/Vundo.Gen
2.331
Arcavir 1.0.4 200709031933 2007-09-03
-
1.172
Avast 1.0.8 000772-2 2007-09-04
-
3.069
AVG 7.5.48.442 269.13.5/988 2007-09-04
Generic2.OUK
1.440
BitDefender 7.60825.836690 7.14615 2007-09-04
Trojan.Vundo.DMV
3.073
CA (VET) 8.4.0.24 31.1.5107 2007-09-04
Win32/Vundo!generic trojan.
0.883
ClamAV 0.91.1 4150 2007-09-04
-
0.114
Dr.Web 4.33 2007.09.04 2007-09-04
-
5.377
Ewido 4.0.0.2 2007.09.03 2007-09-03
-
3.461
F-Prot 3.16.16 2007.09.03 2007-09-03
-
0.429
F-Secure 5.51.6100 2007.09.04.05 2007-09-04
-
2.601
Ikarus T3.1.1.12 2007.09.04.69445 2007-09-04
not-a-virus:AdWare.Win32.Virtumonde.jp
1.236
JiangMin 10.00.650 2007.09.03 2007-09-03
-
0.731
Kaspersky 5.5.10 2007.09.04 2007-09-04
not-a-virus:AdWare.Win32.Virtumonde.jp
0.026
KingSoft 2007.6.20.249 2007.9.4 2007-09-04
-
0.891
McAfee 5.1.00 5111 2007-09-03
-
0.671
mks_vir 2.01 2007.09.04 2007-09-04
-
2.106
NOD32 2.70.8 2502 2007-09-04
-
0.014
Norman 5.91.07 5.90 2007-09-04
W32/Virtumonde.dam
2.855
nProtect 2007-09-04.00 41383 2007-09-04
Trojan.Vundo.DMV
9.725
Panda 9.04.03.0001 2007.09.04 2007-09-04
-
3.130
Quick Heal 9.00 2007.09.03 2007-09-03
-
2.149
Rising 19.0 19.39.12.00 2007-09-04
-
1.343
Sophos 2.49.1 4.21 2007-09-04
-
2.463
Symantec 1.3.0.24 20070903.017 2007-09-03
-
0.177
The Hacker 6.1.9 v00177 2007-09-04
Adware/Virtumonde.jp (Unwanted)
0.679
Trend Micro 8.500-1001 4.691.00 2007-09-03
-
0.042
VBA32 3.12.2.3 20070903.1128 2007-09-03
-
0.684
VirusBuster 4.3.19:9 9.100.1/11.0 2007-09-03
Adware.Vundo.P.Gen
0.983

Bitte Hilfe!!

Felile · 04.09.2007, 13:26

und bei jkhhg.dll kam dass heraus:

A-Squared 3.0.0.123 2007.09.03 2007-09-03
-
4.002
AntiVir 7.4.1.66 6.39.1.85 2007-09-04
TR/Dldr.ConHook.Gen
2.288
Arcavir 1.0.4 200709031933 2007-09-03
-
1.206
Avast 1.0.8 000772-2 2007-09-04
-
3.043
AVG 7.5.48.442 269.13.5/988 2007-09-04
-
1.455
BitDefender 7.60825.836690 7.14615 2007-09-04
DeepScan:Generic.Virtumonde.1.ECD6E138
2.993
CA (VET) 8.4.0.24 31.1.5107 2007-09-04
Win32/Vundo!generic trojan.
0.879
ClamAV 0.91.1 4150 2007-09-04
-
0.202
Dr.Web 4.33 2007.09.04 2007-09-04
Trojan.Virtumod.209
4.827
Ewido 4.0.0.2 2007.09.03 2007-09-03
-
2.136
F-Prot 3.16.16 2007.09.03 2007-09-03
-
0.426
F-Secure 5.51.6100 2007.09.04.05 2007-09-04
-
2.629
Ikarus T3.1.1.12 2007.09.04.69445 2007-09-04
Win32.Rigel.6468
1.305
JiangMin 10.00.650 2007.09.03 2007-09-03
TrojanDownloader.Agent.ogo
0.725
Kaspersky 5.5.10 2007.09.04 2007-09-04
-
0.028
KingSoft 2007.6.20.249 2007.9.4 2007-09-04
-
0.811
McAfee 5.1.00 5111 2007-09-03
-
0.665
mks_vir 2.01 2007.09.04 2007-09-04
-
1.899
NOD32 2.70.8 2502 2007-09-04
-
0.157
Norman 5.91.07 5.90 2007-09-04
-
2.743
nProtect 2007-09-04.00 41383 2007-09-04
-
9.222
Panda 9.04.03.0001 2007.09.04 2007-09-04
-
3.107
Quick Heal 9.00 2007.09.03 2007-09-03
-
2.412
Rising 19.0 19.39.12.00 2007-09-04
-
1.436
Sophos 2.49.1 4.21 2007-09-04
-
2.545
Symantec 1.3.0.24 20070903.017 2007-09-03
-
0.264
The Hacker 6.1.9 v00177 2007-09-04
-
1.131
Trend Micro 8.500-1001 4.691.00 2007-09-03
-
0.046
VBA32 3.12.2.3 20070903.1128 2007-09-03
-
0.829
VirusBuster 4.3.19:9 9.100.1/11.0 2007-09-03
Adware.Vundo.Gen!Pac.15
1.429

BataAlexander · 04.09.2007, 13:55

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
* nach dem neustart, navigierst du zur datei C:\vundofix.txt, poste den inhalt
* C:\VundoFix Backups - löschen + Papierkorb leeren
* erstelle ein neues hjt-logfile und poste es.

Bata

Felile · 04.09.2007, 14:07

Zitat:

Zitat von BataAlexander

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
* nach dem neustart, navigierst du zur datei C:\vundofix.txt, poste den inhalt
* C:\VundoFix Backups - löschen + Papierkorb leeren
* erstelle ein neues hjt-logfile und poste es.

Bata

Dann sind meine Systemdateien alle weg

BataAlexander · 04.09.2007, 14:08

Zitat:

Zitat von Felile

Dann sind meine Systemdateien alle weg

Was willst Du mir sagen?

Bata

Felile · 04.09.2007, 14:10

Wen meine Destkop Symbole weg sin.... sind sie doch gelöscht oder?

Felile · 04.09.2007, 14:11

gibt es keine lösung einfach den trojaner weg zu löschen...?

BataAlexander · 04.09.2007, 14:16

Felile

Wir müssen erst mal die Infektion in den Griff bekommen, daher arbeite meinen Anleitung für den Vundofix ab.
Dann können wir sehen, wo Deine Symbole sind, im Idealfall sind sie nach Bereinigung und Reboot wieder da.

Bata

Felile · 04.09.2007, 14:19

ok ich lad des mal.....

Felile · 04.09.2007, 14:24

ok ich habe jetz die viren gefunden dann auf remove gedrückt..

DEr comruter hat neu gestartet..

Die Destkop Symbole sind wieder da

doch welche text datei?

Felile · 04.09.2007, 14:27

Gerade eben habe ich dass nochmal durchgeführt.....

Es kam kein Torjaner mehr........vohin hat es 5 gefunden ... dich jetzt hat es keinen mehr gefunden!!!

Sind sie jetzt weg?:aplaus::aplaus::aplaus:

BataAlexander · 04.09.2007, 14:33

Poste den Inhalt der Datei

C:\vundofix.txt

Bata

Felile · 04.09.2007, 14:39

VundoFix V6.5.8

Checking Java version...

Sun Java not detected
Scan started at 15:19:29 04.09.2007

Listing files found while scanning....

C:\windows\system32\fccyyay.dll
C:\WINDOWS\system32\ghhkj.bak1
C:\WINDOWS\system32\ghhkj.bak2
C:\WINDOWS\system32\ghhkj.ini
C:\WINDOWS\system32\ghhkj.ini2
C:\WINDOWS\system32\ghhkj.tmp
C:\WINDOWS\system32\jkhhg.dll

Beginning removal...

Attempting to delete C:\windows\system32\fccyyay.dll
C:\windows\system32\fccyyay.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ghhkj.bak1
C:\WINDOWS\system32\ghhkj.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\ghhkj.bak2
C:\WINDOWS\system32\ghhkj.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\ghhkj.ini
C:\WINDOWS\system32\ghhkj.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ghhkj.ini2
C:\WINDOWS\system32\ghhkj.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\ghhkj.tmp
C:\WINDOWS\system32\ghhkj.tmp Has been deleted!

Attempting to delete C:\WINDOWS\system32\jkhhg.dll
C:\WINDOWS\system32\jkhhg.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.8

Checking Java version...

Sun Java not detected
Scan started at 15:25:14 04.09.2007

Listing files found while scanning....

No infected files were found.

04.09.2007, 14:16	#10
BataAlexander > MalwareDB	fccyyay.dll und jkhhg.dll Felile Wir müssen erst mal die Infektion in den Griff bekommen, daher arbeite meinen Anleitung für den Vundofix ab. Dann können wir sehen, wo Deine Symbole sind, im Idealfall sind sie nach Bereinigung und Reboot wieder da. Bata

04.09.2007, 14:33	#14
BataAlexander > MalwareDB	fccyyay.dll und jkhhg.dll Poste den Inhalt der Datei C:\vundofix.txt Bata

04.09.2007, 14:10	#8
Felile	fccyyay.dll und jkhhg.dll Wen meine Destkop Symbole weg sin.... sind sie doch gelöscht oder?

04.09.2007, 14:11	#9
Felile	fccyyay.dll und jkhhg.dll gibt es keine lösung einfach den trojaner weg zu löschen...?

04.09.2007, 14:19	#11
Felile	fccyyay.dll und jkhhg.dll ok ich lad des mal.....

04.09.2007, 14:24	#12
Felile	fccyyay.dll und jkhhg.dll ok ich habe jetz die viren gefunden dann auf remove gedrückt.. DEr comruter hat neu gestartet.. Die Destkop Symbole sind wieder da doch welche text datei?

04.09.2007, 14:27	#13
Felile	fccyyay.dll und jkhhg.dll Gerade eben habe ich dass nochmal durchgeführt..... Es kam kein Torjaner mehr........vohin hat es 5 gefunden ... dich jetzt hat es keinen mehr gefunden!!! Sind sie jetzt weg?:aplaus::aplaus::aplaus:

fccyyay.dll und jkhhg.dll

Log-Analyse und Auswertung: fccyyay.dll und jkhhg.dll