| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Fotomoto, Vundo etc, ich werds nich los :(Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
11.11.2007, 15:40
| #1 |
| |  Fotomoto, Vundo etc, ich werds nich los :( Hallo miteinander... Bitte nicht hauen, hab Google versucht, das Forum durchstöbert und ungefähr 1648593 verschiedene Lösungen gefunden aber es scheint das keine funktioniert. AntiVir meldet ständig Trojaner (Vundo, Fotomoto, der Phantasie sind keine Grenzen gesetzt...), aber kann sie nicht löschen...außerdem hab ich ständig PopUps (klicken bringt mich auf savetheinformation.com) die mir sagen das mein System befallen ist und mich dazu bringen wollen ihr ach so tolles Programm runterzuladen. Versucht hab ichs bisher mit VundoFix, FixVundo, AdAware, AntiVir, Smitfraud und ComboFix. Die finden zwar auch alle immer wieder was, aber dadurch ändert sich leider nix. Achja, Systemwiederherstellung ist deaktiviert und übern abgesicherten Modus hab ich auch probiert, half nix...und ich nutze XP wenns weiterhilft...ich bin mir im Klaren darüber das ich unter Umständen formatieren muss, aber ich versuche das wirklich zu vermeiden, hoffe also auf andere Lösungen... Vielen vielen vielen Dank schonmal...ich gelobe feierlich auf ewig dankbar zu sein wenn mir jemand hilft  Liebe Grüße Aly Hier mein HJT Log: Logfile of HijackThis v1.99.1 Scan saved at 14:28:20, on 11/11/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\sm56hlpr.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\admin\Desktop\this\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: {d8403ab1-3366-203a-8834-5e72c6a89799} - {99798a6c-27e5-4388-a302-66331ba3048d} - C:\WINDOWS\system32\afcgdtth.dll (file missing) O2 - BHO: (no name) - {9AFC2127-20AC-4F8E-A40D-394AB82FC2A5} - C:\WINDOWS\system32\ddcca.dll (file missing) O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\iuztzhhp.dll O2 - BHO: (no name) - {C625D569-7615-4CCB-BB43-353F2FBC9EF1} - C:\WINDOWS\system32\pmnli.dll (file missing) O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\iuztzhhp.dll O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [combofix] "C:\WINDOWS\system32\cmd.exe" /c "cd /d C:\ComboFix\ & Combobatch.bat" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [XPRepairPro2007] C:\Programme\XP Repair Pro 2007\XPRepairPro.exe /r O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file) O11 - Options group: [INTERNATIONAL] International* O15 - Trusted Zone: http://www.gmx.de O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: iuztzhhp - C:\WINDOWS\SYSTEM32\iuztzhhp.dll O20 - Winlogon Notify: OdysseyClient - C:\WINDOWS\SYSTEM32\odyEvent.dll O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - cmd.exe (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing) |
|
11.11.2007, 19:53
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Fotomoto, Vundo etc, ich werds nich los :( Hallo.
__________________Starte das System im abgesicherten Modus und fixe mit HijackThis diese Einträge: Code:
ATTFilter O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: {d8403ab1-3366-203a-8834-5e72c6a89799} - {99798a6c-27e5-4388-a302-66331ba3048d} - C:\WINDOWS\system32\afcgdtth.dll (file missing)
O2 - BHO: (no name) - {9AFC2127-20AC-4F8E-A40D-394AB82FC2A5} - C:\WINDOWS\system32\ddcca.dll (file missing)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\iuztzhhp.dll
O2 - BHO: (no name) - {C625D569-7615-4CCB-BB43-353F2FBC9EF1} - C:\WINDOWS\system32\pmnli.dll (file missing)
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\iuztzhhp.dll
O4 - HKCU\..\Run: [XPRepairPro2007] C:\Programme\XP Repair Pro 2007\XPRepairPro.exe /r
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O20 - Winlogon Notify: iuztzhhp - C:\WINDOWS\SYSTEM32\iuztzhhp.dll
Werte auch mal diese Dateien online bei Virustotal aus: Code:
ATTFilter C:\WINDOWS\system32\iuztzhhp.dll
C:\Programme\XP Repair Pro 2007\XPRepairPro.exe
Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles: - eScancombofix deswegen nochmal, um ein frisches Logfile zu bekommen.
__________________ |
|
| Themen zu Fotomoto, Vundo etc, ich werds nich los :( |
| .com, abgesicherten modus, adobe, antivir, antivir meldet, avira, bho, c:\windows\system32\cmd.exe, desktop, einstellungen, ellung, excel, explorer, fraud, google, hijack, hijackthis, immer wieder, internet, internet explorer, locker, performance, popups, programm, security, smitfraud, software, system, trojaner, vielen dank, vundo, windows, windows xp |
Linear-Darstellung
