Trojaner

sebzor · 17.10.2007, 10:15

Hi

seit ca 2 Tagen hab ich 2(?) Trojaner auf meinem System die die Prozessgeschwindigkeit doch schon SEHR beeinträchtigen.
Antivir zeigt mir alle 2 Sekunden an das er was gefunden hat ist aber unfähig zu löschen.

Hier der Hijackthis-log:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11:00:26, on 17.10.2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\sebasti\Desktop\HiJackThis_v2.exe
C:\WINDOWS\system32\rundll32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3C9FB61A-F9D8-4D35-9734-0F1A99319E96} - C:\WINDOWS\System32\awvvv.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\qomljhi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: awvvv - C:\WINDOWS\System32\awvvv.dll
O20 - Winlogon Notify: qomljhi - C:\WINDOWS\SYSTEM32\qomljhi.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\blaahfkh.exe (file missing)

--
End of file - 5215 bytes

Als schädlich werden folgende Datein angesehn:
----
O2 - BHO: (no name) - {3C9FB61A-F9D8-4D35-9734-0F1A99319E96} - C:\WINDOWS\System32\awvvv.dll

-> Antivir nennt das ding: TR/Mon. Virtumonde.II (Trojaner)

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\qomljhi.dll

-> Antivir nennt das ding: TR/Vundo.DMY

O20 - Winlogon Notify: awvvv - C:\WINDOWS\System32\awvvv.dll
O20 - Winlogon Notify: qomljhi - C:\WINDOWS\SYSTEM32\qomljhi.dll

Ich kann die Teile weder fixen noch per hand löschen.Auch die Systemwiederherstellung versagt hier.

Wie krieg ich die 2 Trojaner wieder runter?

Danke schonmal

Gruß

Chris4You · 17.10.2007, 10:43

Hi,

bevor ich mich verkünstele:
Vundofix anwenden
Vundofix

und danach ein neues HJ-Log...

chris

Ps.: Das sind die bisher erkennbaren "Übeltäter" :
C:\WINDOWS\System32\blaahfkh.exe (sollte schon gelöscht sein)
C:\WINDOWS\System32\awvvv.dll
C:\WINDOWS\SYSTEM32\qomljhi.dll

Löschen über z. B. die Killbox und anschließend die Einträge mit HJ entfernen:
KILLBOX - Pocket KillBox
Killbox - Pocket KillBox

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\WINDOWS\System32\blaahfkh.exe
C:\WINDOWS\System32\awvvv.dll
C:\WINDOWS\SYSTEM32\qomljhi.dll
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

Und dann gleich das System absichern/updaten...

Mache noch einen escan und poste (bis auf die Cookiees) den Report:
http://www.trojaner-board.de/42731-escan-anleitung.html

17.10.2007, 11:02

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11:00:26, on 17.10.2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Also das ist mal sehr schlecht...ohne SP2 ins Netz

Dieser Post ist das richtige:

Anleitung -> Neuaufsetzen des Systems und anschliessende Absicherung!

17.10.2007, 11:02	#3
-SkY- Gast	Trojaner Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 11:00:26, on 17.10.2007 Platform: Windows XP (WinNT 5.01.2600) Boot mode: Normal Also das ist mal sehr schlecht...ohne SP2 ins Netz Dieser Post ist das richtige: Anleitung -> Neuaufsetzen des Systems und anschliessende Absicherung! __________________

Trojaner

Log-Analyse und Auswertung: Trojaner

Trojaner

Trojaner

Trojaner