Hallo,
ich habe auch ein Trojaner auf meinem Rechner. Der Antivir meldet folgendes:


Beginne mit der Suche in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\hgdda.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!

Hier ist mein Hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 13:07, on 2007-10-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\xampp\filezillaftp\filezillaserver.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe


O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B94E3D67F5B78412E3EC2 - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {88E3620F-6870-4695-A755-DAFB099A9500} - C:\WINDOWS\system32\geeda.dll (file missing)
O2 - BHO: (no name) - {A8594EAF-C1D4-4DFD-98B6-2E1002144065} - C:\WINDOWS\system32\byxwt.dll (file missing)
O2 - BHO: (no name) - {B6A50DD3-BB24-48E4-97B7-4B917E50006C} - C:\WINDOWS\system32\ljjjh.dll (file missing)
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O2 - BHO: (no name) - {CB5F7624-0431-4E6D-BBB4-02C63E563A68} - C:\WINDOWS\system32\hgdda.dll
O2 - BHO: (no name) - {CFA49428-AC68-4561-BDBD-EABAB8DCD179} - C:\WINDOWS\system32\cbxxy.dll (file missing)
O2 - BHO: {91a5172e-22d3-b368-f6b4-cdcb144f807d} - {d708f441-bcdc-4b6f-863b-3d22e2715a19} - C:\WINDOWS\system32\avlwdwkq.dll (file missing)
O2 - BHO: (no name) - {F5FAD2C4-4D50-4377-9C2C-EA28E9A3B575} - C:\WINDOWS\system32\xxyyw.dll (file missing)
O2 - BHO: (no name) - {FC4F5C80-9F4D-4103-98DC-E0CFDD5BBE8D} - C:\WINDOWS\system32\pmnmk.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [f08c7409] rundll32.exe "C:\WINDOWS\system32\klwkdegj.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Download Master] C:\Programme\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\system32\textwareilluminatorbaseProtocol.dll
O20 - Winlogon Notify: byxwt - C:\WINDOWS\system32\byxwt.dll (file missing)
O20 - Winlogon Notify: cbxxy - C:\WINDOWS\system32\cbxxy.dll (file missing)
O20 - Winlogon Notify: geeda - C:\WINDOWS\system32\geeda.dll (file missing)
O20 - Winlogon Notify: ljjjh - C:\WINDOWS\system32\ljjjh.dll (file missing)
O20 - Winlogon Notify: pmnmk - C:\WINDOWS\system32\pmnmk.dll (file missing)
O20 - Winlogon Notify: tuvss - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: xxyyw - C:\WINDOWS\system32\xxyyw.dll (file missing)
O20 - Winlogon Notify: yayyvvv - C:\WINDOWS\SYSTEM32\yayyvvv.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


Vundofix, Fixvundo, Avenger und Killbox konnten hgdda.dll auch nicht entfernen. Ich habe auch probiert vom Linux aus sie zu löschen, geht auch nicht.

Bitte um Hilfe!!!!!!
Bin verzweifelt!!!!!


Danke im Voraus

Halli hallo Ini.

Folge bitte dieser Anleitung zu VudoFix und wiederhole sie so häufig bis nichts mehr gefunden wird.

Danach erstelle bitte ein neues HJT log sowie einen eScan Bericht. Anleitung dazu findest du in meiner Signatur.

Gruß

Undoreal

Hi,
es gibt Varianten die noch nicht von Vundofix entfernt werden können. Poste doch bitte mal das Vundofixlog. Welches Vundofix hast du denn benutzt? Wer ist der Autor?

Was war denn das Problem um die Datei zu löschen unter Linux (welche Distri, wie ist die Platte formatiert, was für ne Fehlermeldung, etc.)

lg myrtille

Danke für euere Meldungen!

Tja,
ich habe den Vundofix mehrmals laufen lassen, beim Zugriff auf die Datei hgdda.dll meldet er, dass er auf sie nicht zugreifen kann. Unter Linux war die Datei nur lesbar, und chmod geht a nicht.

Vundofixlog sieht so aus:

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 14:14:30 2007-10-12

Listing files found while scanning....

C:\WINDOWS\system32\byxwt.dll
C:\WINDOWS\system32\cbxxy.dll
C:\WINDOWS\system32\geeda.dll
C:\WINDOWS\system32\ljjjh.dll
C:\WINDOWS\system32\pmnmk.dll
C:\WINDOWS\system32\xxyyw.dll

Beginning removal...

Performing Repairs to the registry.
Done!

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 14:23:38 2007-10-12

Listing files found while scanning....

C:\WINDOWS\system32\byxwt.dll
C:\WINDOWS\system32\cbxxy.dll
C:\WINDOWS\system32\geeda.dll
C:\WINDOWS\system32\ljjjh.dll
C:\WINDOWS\system32\pmnmk.dll
C:\WINDOWS\system32\xxyyw.dll

Beginning removal...

Performing Repairs to the registry.
Done!

Zitat:

ich habe den Vundofix mehrmals laufen lassen

nach Anleitung? Also auch die Version die in der Anleitung verlinkt ist? Ich frage nur so bescheurt nach weil es dort häufig Probleme gibt.

Zu Linux und den Dateizugriffen meldet sich Myrtille..

lg

Undoreal

Zitat:

welche Distri, wie ist die Platte formatiert, was für ne Fehlermeldung

Wenn du versuchen willst die Dateien unter Linux zu löschen, brauche ich diese Infos.
EDIT: Würde man zb davon asugehen, dass du Ubuntu hast, dann ist es normal, dass du keine Schreibrechte auf die Datei hast, da die Platte meist erst eingebunden werden nmüssen. Indem Fall solltest du zb mit sudo oder su glücklich werden. Handelt es sich um ntfs-platten, dann kann es sein dass noch weitere Probleme berücksichtigt werden müssen. Ob das Problem aber überhaupt ein Rechteproblem ist, kann ich erst sagen wenn du mir dein Problem beschriebst.


Deine Vundofixlogs sehen sehr seltsam aus, da wurde gar nichts gelöscht. Es sind also noch mehr Vundodateien auf deinem Rechner. Gab es beim durchlaufen lassen des Vundofix irgendwelche Fehlermeldungen?

Was war denn die Fehlermeldung bei Avenger?

Erstelle bitte noch folgendes Log:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp[/indent]
lg myrtille

Vundofix habe ich vom http://www.atribune.org/ geladen.

Zur Anleitung ->

Ich starte Vundofix
Scan for vundo
Remove Vundo
Kriege Fehlermeldung: Kann micht auf hgdda.dll zugreifen
reboot
Dann lösche ich den Inhalt von Vundofix Backup
leere Papierkorb
und wieder von vorne....

Allerdings bekomme ich nach dem Neustart eine neue Fehlermeldung:
Kann auf klwkdegi.dll nicht zugreifen. Modul ist nicht gefunden.