Trojaner TR/Vundo.Gen macht mir zu schaffen.

Manuelse · 28.10.2007, 17:57

Hallo,

Ich habe ein Problem mit einem Trojaner,namens TR/Vundo.Gen(Siehe Titel).
Ich bin benutzer von Windows XP Home Edition und habe an Sicherheitsschutz,das AntiVir Personal Edition Classic installiert.Dieses,bringe ich regelmäßig auf den neusten stand.
So,nun zum eigentlichen Problem:Meine Datei im system32 Ordner,namens mljgg.dll ist mit einem Trojaner(Name siehe oben),infiziert.Manche anderen dDateien auch,aber es geht hier ja darum,wie man sie los wird.
Immer wenn ich bei dem Startbildschirm auf mein Benutzerkonto klicke,läd alles ohne Probleme,aber auf dem Desktop angekommen,bekomme ich NACHEINANDER(!),mindestens 15 Meldungen,dass dieser eine Trojaner gefunden wurde!Irgendwann,komkmen sie nicht mehr,und ich kann normal weiterarbeiten.
Ich habe mir Infos über diesen Trojaner durschgeschaut,dass Schadenspotiential ist zwar niedrig,ich will ihn aber trozdem loswerden!!
Nun meine Bitte,Helft mir bitte ihn zu

..Danke.

cosinus · 28.10.2007, 18:35

Hallo.

Führe mal Vundofix aus:

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Poste auch ein Hijackthis-Logfile. Dann sehen wir weiter.

Manuelse · 28.10.2007, 19:04

So,Das Programm,hab ich noch nicht geladen,aber ich poste mal die HijackThis logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:03:46, on 28.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\WebCam\M1000\M1000Mnt.exe
C:\Programme\Hotbar\bin\10.0.368.0\OEAddOn.exe
C:\Programme\Hotbar\bin\10.0.368.0\HotbarSA.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hotbar\bin\10.0.368.0\Weather.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe
C:\DOKUME~1\MANUEL~1\LOKALE~1\Temp\jre-6u3-windows-i586-p-iftw_2cd32978.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\MsiExec.exe
C:\Programme\Hotbar\bin\10.0.368.0\Srv.exe
C:\Dokumente und Einstellungen\Manuel Anti-Virus\Eigene Dateien\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://GLOBAL.ACER.COM/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Hotbar /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B9499803B2A2303766A - {07AA283A-43D7-4CBE-A064-32A21112D94D} - C:\Programme\Hotbar\bin\10.0.368.0\HostIE.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {51F2CD02-D08F-42FF-ABFE-4CF1C66EECCD} - C:\WINDOWS\system32\mljgg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8B11056F-6A1D-4618-8F17-49D83A23111E} - C:\WINDOWS\system32\jkklm.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Little Fighter 2 Toolbar Helper - {AB41010D-4804-4793-A6A2-3B5EBE2348DD} - C:\Programme\Little Fighter 2 Toolbar\v2.0.0.1\Little_Fighter_2_Toolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: {35dcf1c4-ee97-c7db-4384-be389a37960d} - {d06973a9-83eb-4834-bd7c-79ee4c1fcd53} - C:\WINDOWS\system32\rsrtwcfw.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: Little Fighter 2 Toolbar - {C11483F7-D7D8-4804-98D8-6055470BB989} - C:\Programme\Little Fighter 2 Toolbar\v2.0.0.1\Little_Fighter_2_Toolbar.dll
O3 - Toolbar: Hotbar - {07AA283A-43D7-4CBE-A064-32A21112D94D} - C:\Programme\Hotbar\bin\10.0.368.0\HostIE.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [M1000Mnt] M1000Rmv.exe /StartStillMnt
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [8cdedfaf] rundll32.exe "C:\WINDOWS\system32\mwdktajt.dll",b
O4 - HKLM\..\Run: [HotbarOE] C:\Programme\Hotbar\bin\10.0.368.0\OEAddOn.exe
O4 - HKLM\..\Run: [HotbarSA] "C:\Programme\Hotbar\bin\10.0.368.0\HotbarSA.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WeatherDPA] "C:\Programme\Hotbar\bin\10.0.368.0\Weather.exe" -auto
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: awtqo - C:\WINDOWS\
O20 - Winlogon Notify: awtsr - C:\WINDOWS\
O20 - Winlogon Notify: awvvt - C:\WINDOWS\
O20 - Winlogon Notify: ddcyw - C:\WINDOWS\
O20 - Winlogon Notify: jkhfe - C:\WINDOWS\
O20 - Winlogon Notify: jkklm - C:\WINDOWS\
O20 - Winlogon Notify: mljkjjh - C:\WINDOWS\SYSTEM32\mljkjjh.dll
O20 - Winlogon Notify: pmnnl - C:\WINDOWS\
O20 - Winlogon Notify: vtstr - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 9818 bytes

Das Programm,lad ich gerade herunter!

Manuelse · 28.10.2007, 19:34

So,Programm heruntergeladen,alles gemacht,was da stand,hat aber nicht geklappt.Der Trojaner,ist nach wie vor auf meinem System....

cosinus · 28.10.2007, 20:28

Meine Güte, dein System ist aber zugemüllt!

Code:

ATTFilter

C:\WINDOWS\system32\mljgg.dll
C:\WINDOWS\system32\jkklm.dll
C:\WINDOWS\system32\rsrtwcfw.dll
C:\WINDOWS\system32\mwdktajt.dll

Werte diese Dateien mal online bei Virustotal aus und poste die Ergebnisse.

Manuelse · 28.10.2007, 21:30

Hier das ergebnis der mljgg.dll Datei(Die anderen,überprüfe ich nach und nach):

Datei mljgg.dll empfangen 2007.10.28 21:19:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 10/31 (32.26%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.27.0 2007.10.26 -
AntiVir 7.6.0.30 2007.10.26 TR/Vundo.Gen
Authentium 4.93.8 2007.10.28 -
Avast 4.7.1074.0 2007.10.28 -
AVG 7.5.0.503 2007.10.28 Lop
BitDefender 7.2 2007.10.28 Adware.Virtumonde.GGX
CAT-QuickHeal 9.00 2007.10.26 -
ClamAV 0.91.2 2007.10.28 -
DrWeb 4.44.0.09170 2007.10.28 -
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5244 2007.10.26 -
Ewido 4.0 2007.10.28 -
FileAdvisor 1 2007.10.28 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.26 -
F-Secure 6.70.13030.0 2007.10.28 Vundo.gen41
Ikarus T3.1.1.12 2007.10.28 AdWare.Virtumonde.GGX
Kaspersky 7.0.0.125 2007.10.28 -
McAfee 5150 2007.10.26 -
Microsoft 1.2908 2007.10.28 Trojan:Win32/Vundo.K
NOD32v2 2621 2007.10.28 -
Norman 5.80.02 2007.10.26 Vundo.gen41
Panda 9.0.0.4 2007.10.28 Suspicious file
Prevx1 V2 2007.10.28 Trojan.Vundo
Rising 19.46.61.00 2007.10.28 -
Sophos 4.23.0 2007.10.28 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2007.10.27 -
Symantec 10 2007.10.28 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.28 -
VirusBuster 4.3.26:9 2007.10.28 -

weitere Informationen
File size: 318560 bytes
MD5: b30ea12e44046e13135cb3e770d603ba
SHA1: 01a63b8f96fb6b6142826a6163a39b6b761ede72
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=6D1EC201608DBD50DCE804B9392001001910A5C0

Manuelse · 28.10.2007, 21:38

Dei andeen dateien,sindi-wie nicht im system32 ordner :S

cosinus · 28.10.2007, 22:06

Aha, das ist ein weiterer Vundo-Bestandteil. Die anderen Dateien wurden wohl schon vom Vundofix entfernt.
Nebenbei sind auch Ad-/Spywarekomponenten von Hotbar zu erkennen. Probier mal die über Systemsteuerung, Software zu löschen. Sollte das nicht klappen, müssen wir den Ordner manuell löschen. Ungelöschte Reste davon uvm. lassen sich evtl. mit Spybot entfernen.

Die eine ausgewertete Datei sollte aber schon mal gelöscht werden, geh dazu so vor:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

ATTFilter

files to delete:
C:\WINDOWS\system32\mljgg.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Acker danach mal diese Anleitung ab. Wenn du im abgesicherten Modus das System mit eScan scannen lässt, kannst du auch am besten noch davor mit HijackThis diese Einträge fixen:

Code:

ATTFilter

O2 - BHO: Hotbar /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B9499 803B2A2303766A - {07AA283A-43D7-4CBE-A064-32A21112D94D} - C:\Programme\Hotbar\bin\10.0.368.0\HostIE.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingRep ort.dll
O2 - BHO: (no name) - {51F2CD02-D08F-42FF-ABFE-4CF1C66EECCD} - C:\WINDOWS\system32\mljgg.dll
O2 - BHO: (no name) - {8B11056F-6A1D-4618-8F17-49D83A23111E} - C:\WINDOWS\system32\jkklm.dll (file missing)
O2 - BHO: {35dcf1c4-ee97-c7db-4384-be389a37960d} - {d06973a9-83eb-4834-bd7c-79ee4c1fcd53} - C:\WINDOWS\system32\rsrtwcfw.dll (file missing)
O3 - Toolbar: Hotbar - {07AA283A-43D7-4CBE-A064-32A21112D94D} - C:\Programme\Hotbar\bin\10.0.368.0\HostIE.dll
O4 - HKLM\..\Run: [8cdedfaf] rundll32.exe "C:\WINDOWS\system32\mwdktajt.dll",b
O4 - HKLM\..\Run: [HotbarOE] C:\Programme\Hotbar\bin\10.0.368.0\OEAddOn.exe
O4 - HKLM\..\Run: [HotbarSA] "C:\Programme\Hotbar\bin\10.0.368.0\HotbarSA.exe"
O4 - HKCU\..\Run: [WeatherDPA] "C:\Programme\Hotbar\bin\10.0.368.0\Weather.ex e" -auto
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingRep ort.dll
O20 - Winlogon Notify: awtqo - C:\WINDOWS\
O20 - Winlogon Notify: awtsr - C:\WINDOWS\
O20 - Winlogon Notify: awvvt - C:\WINDOWS\
O20 - Winlogon Notify: ddcyw - C:\WINDOWS\
O20 - Winlogon Notify: jkhfe - C:\WINDOWS\
O20 - Winlogon Notify: jkklm - C:\WINDOWS\
O20 - Winlogon Notify: mljkjjh - C:\WINDOWS\SYSTEM32\mljkjjh.dll
O20 - Winlogon Notify: pmnnl - C:\WINDOWS\
O20 - Winlogon Notify: vtstr - C:\WINDOWS\

Wenn du damit durch bist: eScan-Logfile und ein neues Hijackthis-Logfile posten.

Manuelse · 29.10.2007, 16:04

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: selected file does not appear to be a valid script.
Error code: 998

//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\aqqiwotx

*******************

Script file located at: \??\C:\WINDOWS\uuitrrym.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\mljgg.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Manuelse · 29.10.2007, 16:13

Der Virus ist..naja das ist jezt schlimm...ER IS TOT Y:P:P!!!

DANKE!!!!

cosinus · 29.10.2007, 20:45

Das hört sich doch schon mal besser an. Poste aber zur Kontrolle noch das neue Hijackthis-Logfile sowie das von escan/MWAV.

Falls noch weitere "krumme" Dateien im System sind, die auch mit escan/MWAV nicht aufgespürt werden konnten, können wir die evtl. mit einem filelisting aufspüren:

- dieses Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing6.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt, ebenfalls auf dem Desktop

Diese listing.txt z.B. bei rapidshare hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

28.10.2007, 20:28	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner TR/Vundo.Gen macht mir zu schaffen. Meine Güte, dein System ist aber zugemüllt! Code: ATTFilter C:\WINDOWS\system32\mljgg.dll C:\WINDOWS\system32\jkklm.dll C:\WINDOWS\system32\rsrtwcfw.dll C:\WINDOWS\system32\mwdktajt.dll Werte diese Dateien mal online bei Virustotal aus und poste die Ergebnisse. __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner TR/Vundo.Gen macht mir zu schaffen.

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Vundo.Gen macht mir zu schaffen.