awtss.dll ist verseucht

Mr.Frosty · 28.11.2007, 16:30

Hi, hab mal wieder nen Trojaner jedes mal wenn ich ein IE oder Firefox Fenster öffne kommt Antivir und sagt dass die awtss.dll in system32 ein trojaner sei...

Wäre sau cool wenn mir einer helfen könnte, hier mein Log

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NETGEAR\WG111v2\WG111v2.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Paul Wassermann\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: (no name) - {4A54500A-65FE-4F4A-B860-20EAE2F577F9} - C:\WINDOWS\system32\xxyywtq.dll
O2 - BHO: (no name) - {70D506E1-1889-4180-ACAF-079C05ACA474} - C:\WINDOWS\system32\dpcdllm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {93B72853-4056-4089-A183-A328943A19AF} - C:\WINDOWS\system32\awtss.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v2\WG111v2.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Games\PartyPokerNet\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Games\PartyPokerNet\PartyPokerNet\RunPF.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: xxyywtq - C:\WINDOWS\SYSTEM32\xxyywtq.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

28.11.2007, 17:04

Reiche bitte den Header nach!

Lasse außerdem diese Dateien bei VT scannen.

Zitat:

C:\WINDOWS\SYSTEM32\xxyywtq.dll
C:\WINDOWS\system32\xxyywtq.dll
C:\WINDOWS\system32\dpcdllm.dll
C:\WINDOWS\system32\awtss.dll

Welche Meldung spuckt dein AntiVir aus (Name vom Virus)?

Mr.Frosty · 28.11.2007, 17:24

Danke für die schnelle Antwort...
Sorry, wusste nicht dass man den Header braucht, also hier nochmal der ganz log:

Logfile of HijackThis v1.99.1
Scan saved at 16:24:01, on 28.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NETGEAR\WG111v2\WG111v2.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Paul Wassermann\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: (no name) - {4A54500A-65FE-4F4A-B860-20EAE2F577F9} - C:\WINDOWS\system32\xxyywtq.dll
O2 - BHO: (no name) - {70D506E1-1889-4180-ACAF-079C05ACA474} - C:\WINDOWS\system32\dpcdllm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {93B72853-4056-4089-A183-A328943A19AF} - C:\WINDOWS\system32\awtss.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v2\WG111v2.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Games\PartyPokerNet\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Games\PartyPokerNet\PartyPokerNet\RunPF.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: xxyywtq - C:\WINDOWS\SYSTEM32\xxyywtq.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Antivir sagt die Datei awtss.dll sei das trojanische Pferd TR/Agent.316512

Dann die einzelnen Ergebnisse von VT

Für C:\WINDOWS\SYSTEM32\xxyywtq.dll:
AntiVir 7.6.0.34 2007.11.28 ADSPY/Virtumonde.art
AVG 7.5.0.503 2007.11.28 Generic9.XMM
F-Secure 6.70.13030.0 2007.11.28 Vundo.gen42
Ikarus T3.1.1.12 2007.11.28 not-a-virus:AdWare.Win32.Virtumonde.art
Kaspersky 7.0.0.125 2007.11.28 not-a-virus:AdWare.Win32.Virtumonde.art
NOD32v2 2691 2007.11.28 a variant of Win32/Adware.Virtumonde
Norman 5.80.02 2007.11.28 Vundo.gen42
Panda 9.0.0.4 2007.11.26 Spyware/Virtumonde
Prevx1 V2 2007.11.28 Trojan.Vundo
Sophos 4.23.0 2007.11.28 Troj/Virtum-Gen
Symantec 10 2007.11.28 Trojan.Vundo
VBA32 3.12.2.5 2007.11.27 AdWare.Win32.Virtumonde.art
VirusBuster 4.3.26:9 2007.11.28 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2007.11.28 Ad-Spyware.Virtumonde.art

Für C:\WINDOWS\system32\xxyywtq.dll:
AntiVir - - ADSPY/Virtumonde.art
AVG - - Generic9.XMM
F-Secure - - Vundo.gen42
Ikarus - - not-a-virus:AdWare.Win32.Virtumonde.art
Kaspersky - - not-a-virus:AdWare.Win32.Virtumonde.art
NOD32v2 - - a variant of Win32/Adware.Virtumonde
Norman - - Vundo.gen42
Panda - - Spyware/Virtumonde
Prevx1 - - Trojan.Vundo
Rising - - -
Sophos - - Troj/Virtum-Gen
Symantec - - Trojan.Vundo
VBA32 - - AdWare.Win32.Virtumonde.art
VirusBuster - - Adware.Vundo.V.Gen
Webwasher-Gateway - - Ad-Spyware.Virtumonde.art

Für C:\WINDOWS\system32\awtss.dll:
AntiVir 7.6.0.34 2007.11.28 TR/Agent.316512
AVG 7.5.0.503 2007.11.28 Lop.3.I
F-Secure 6.70.13030.0 2007.11.28 Vundo.gen49
Norman 5.80.02 2007.11.28 Vundo.gen49
Panda 9.0.0.4 2007.11.26 Suspicious file
Prevx1 V2 2007.11.28 Rogue Antispyware:All Strains-All Variants
VirusBuster 4.3.26:9 2007.11.28 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2007.11.28 Trojan.Agent.316512

Die C:\WINDOWS\system32\dpcdllm.dll findet er gar nicht mehr...

28.11.2007, 18:19

Soo...hauen wir erstmal den Vundo weg...

- Lade dir vundofix.exe
- Doppelklick VundoFix.exe
- Klicke "Scan" --> Vundo button.
- Nach dem Scannen, klicke den "Remove" Vundo button.
- Man wird nun gefragt, ob man "remove" will --> klicke YES
- Danach werden alle Desktop-Symbole verschwinden
- Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Dann noch ComboFix

-Lade dir das Tool hier herunter -> Hier
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen

eScan

1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
(Bei Updateproblemen -> Updateprobleme beheben
(Sollte der Hinweis erscheinen, dass du nur mit der Vollversion
die Funde löschen kannst, breche den Scan NICHT ab)
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
3. Entferne bitte nicht selber von escan alarmierte Funde!

Mr.Frosty · 28.11.2007, 18:29

Zitat:

Zitat von -SkY-

Soo...hauen wir erstmal den Vundo weg...

- Lade dir vundofix.exe
- Doppelklick VundoFix.exe
- Klicke "Scan" --> Vundo button.
- Nach dem Scannen, klicke den "Remove" Vundo button.
- Man wird nun gefragt, ob man "remove" will --> klicke YES
- Danach werden alle Desktop-Symbole verschwinden
- Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Das hatte ich schon ausprobiert, habs in nem anderen Forum gelesen, dass es was bringen soll. Hab es gerade nochmal probiert hat (schon wieder) nichts gefunden...

29.11.2007, 15:17

Zitat:

Zitat von Mr.Frosty

Das hatte ich schon ausprobiert, habs in nem anderen Forum gelesen, dass es was bringen soll. Hab es gerade nochmal probiert hat (schon wieder) nichts gefunden...

Wie jetzt!? VundoFix findet nichts o_O

Das sind so ziemlich eindeutig Vundofiles...

Naja mach mal die anderen Scans...