Die eine .dll verarscht uns.


Lad dir bitte Killbox und wechsel in den abgesicherten Modus.


Dort fixe als erstes folgende Einträge mit HJT:

* R3 - URLSearchHook: (no name) - {F4F10C1D-87C7-404A-B4B3-000000000000} - (no file) *

* O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - (no file) *

* O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) *

* O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll *

* O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll *

* O4 - HKLM\..\Policies\Explorer\Run: [0IP5J3bsBJ] rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServe r *

* O20 - Winlogon Notify: winowl32 - C:\WINDOWS\ *


Anleitung Killbox:

Lade dir folgendes Tool herunter -> KILLBOX
-Starte dann das Programm
-klick auf die Option -> "delete on reboot"
-kopiere diesen Text unter -> "Full Path of File to delete"

Zitat:

DC:\WINDOWS\system32\ndaTqsVqrX.dll

Nun auf das rote "x" klicken und das System neustarten lassen




Dann lässt du SmitfraudFix nochmals laufen. Alles im abgesicherten!


Danach mal wieder CCleaner laufen lassen und gucken was passiert. Spybot und AdAware ebenfalls.

Erst danach startest du den Rechner neu und machst ein frisches HJT log sowie einen eScan.

Hijackthis habe ich probiert und die einträge gefixt
Killbox war mir schon bekannt. habe DC:\WINDOWS\system32\ndaTqsVqrX.dll und C:\WINDOWS\system32\ndaTqsVqrX.dll probiert, jedoch kam kurz vor dem Neustart ein Fehler. Keine der beiden Varianten konnte er löschen oder finden und auch im System32 folder habe ich die nicht entdeckt.

Ups. DC: war natürlich mein Fehler!

Aber mit " C:\WINDOWS\system32\ndaTqsVqrX.dll " hast du es auch probiert?

Dann versuche es mal bitte zusätzlich mit dem Haken gesetzt bei " End Explorer Shell .. "

Wenn du den Link in meiner Signatur zum suchen und finden von Dateien beachtest findest du die Datei dann?

PS: Poste bitte noch ein neues HJT log.

Habe alles genauso befolgt aber wieder Erfolglos. Naja, vielleicht nicht ganz, habe unsere Datei gefunden. Allerdings im Avenger Ordner unter Backups. War da im Stapelverzeichnis. Habe die kurzerhand auch mal eliminiert und daraufhin die Datei über die von dir beschriebene custom Suche dann auch nicht mehr gefunden. Auch nach Einstellung, wie es in deinem Linkbeschrieben ist, konnte ich die Datei jedoch nicht im system32 Ordner finden und das Programm auch nicht, trotz aktiviertem shell. Wieder Fehler 1 Sekunde vor Neustart.
"PendingFileRenameOperationsRegistry Data has been removed by External process" steht dann da immer

hier mein neues Hijkt log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:00:57, on 28.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\RivaTuner v2.06\RivaTuner.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programs\HiJackThis202.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe

--
End of file - 3755 bytes

Also dein Hijack ist sauber.

Beobachte dein System und berichte was sich so tut..

Alslo irgendwie findet Escan immernoch Trojan-downloader.bat.ftp und smitfraud.browser.hijacker

Vielleicht nur ein fehlalarm von Escan?
hier mein aktuelles hijk log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:02, on 28.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\RivaTuner v2.06\RivaTuner.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Antispyware\HiJackThis202.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 3167 bytes

Hallo. Ich hoffe ich störe hier nicht eine Diskussion aber mein Problem schlägt genau in die gleiche Bresche. Ich habe den Vundo-Trojaner bzw. einen TR/Drop.Agent.dgo.8 (oder andere Nummer).

Meine Problemdatei ist laut vundovix.exe folgende:

C:\Windows\System32\ssqrq.dll

Zwischenzeitlich hatte ich noch im gleichen Ordner die iifddbx.dll oder qrqss.ini oder qrqss.ini2 oder mljdg.dll

Mit den AntiVirus-Programmen hab ich den Vundo erst gar nicht entdeckt (habe den "Jotti-Malware"Scan gemacht. Der erkannte die mljdg.dll als Vundo infiziert - AntiVir, Avast, Bitdefender etc. finden hingegen nichts. Auch Adware 2007 und Spybot nicht. )

Das Problem ist, dass ich die Datei ssqrq.dll weder mit Killbox noch mit dem Vundofix (auch nicht wenn Systemwiederherstellung deaktiviert ist) wegbekomme. Einmal hab ich sogar gesehen, wie sie sich selbst wieder "erschuf". Auch im abgesicherten Modus komme ich nicht weiter.
Und dieser Trojaner zerstört auch noch meine ZoneLabs Firewall und Antivir etc.

Komme hier echt nicht mehr weiter.

Ach und Antivir findet im ssqrq.dll nichts aber manchmal in den Temp dateien folgenden Trojaner:

TR/Drop.Agent.dgo.8 (wie schon oben gesagt)


Hier mein HJT File

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:12, on 28.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Anwendungen\Lavasoft\Ad-aware 2007\aawservice.exe
C:\Anwendungen\AntiVir PersonalEdition Classic\sched.exe
C:\Anwendungen\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Anwedungen\ProcessGuard\dcsuserprot.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\ANWEND~1\TRISNA~1\SSI\SYSENF~1.EXE
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Anwendungen\Zone Labs\ZoneAlarm\zlclient.exe
C:\Anwendungen\Zone Labs\ZoneAlarm\zlclient .exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Anwendungen\T-Com\OnlineControl\ocontrol.exe
C:\Anwendungen\ATITool\ATITool.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\system32\rundll32.exe
D:\Eigene Dateien\DOWNLOADS\KillBox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Anwendungen\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Anwendungen\Bitdefender\vsserv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Anwendungen\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Programme\Mplayer\Assets\Blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.130.10.167:2
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Anwendungen\ICQToolbar\toolbaru.dll
F3 - REG:win.ini: load=C:\WINDOWS\system32\ssqrq.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Anwendungen\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BDMCon] "C:\Anwendungen\Bitdefender\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Anwendungen\Bitdefender\bdagent.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Anwendungen\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Anwendungen\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user')
O4 - Startup: ATITool.lnk = C:\Anwendungen\ATITool\ATITool.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Global Startup: OnlineControl.lnk = C:\Anwendungen\T-Com\OnlineControl\ocontrol.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Anwendungen\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Anwendungen\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Anwendungen\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Anwendungen\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093022517812
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175024247125
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{24D8F93F-2CDE-4107-BDF0-A49EAB65F44E}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{89CE64EC-0F2C-4FDB-B122-94C1672DF215}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{BED2C924-4804-4E0E-86D8-1F7A350295D6}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2C97039-7BB7-44B9-B437-7EAE4D5C9793}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Anwendungen\Lavasoft\Ad-aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Anwendungen\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Anwendungen\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Anwedungen\ProcessGuard\dcsuserprot.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - DiamondCS - (no file)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SysEnforce - Unknown owner - C:\ANWEND~1\TRISNA~1\SSI\SYSENF~1.EXE
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Anwendungen\Bitdefender\vsserv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 9884 bytes

Sei da aufjednefall vorsichtig. Ich hatte das Gefühl, dass er sich meines Antivirs bemächtigt hat. Daraufhin hab ich es einfach deaktiviert. Nutze Escan, wie ich das momentan mache und lies dir den thread schonmal durch, könnt ne lange session werden, auch für dich.
Vundo oder Zlob machen sowieso was sie wollen, da hilft nur Pistole auf die Brust.

Na dann danke schon mal für die schnelle Antwort.

Der eScan wirft ja unglaublich viel aus! (Dass ich mal Kazaa aufm PC hatte, wusste ich gar nicht mehr...)

Hier eine Übersicht (das Protokoll ist ca 950.000 Zeichen lang...)


Fri Dec 28 21:39:58 2007 => Gescannte Dateien: 44135
Fri Dec 28 21:39:58 2007 => Gefundene Viren: 57
Fri Dec 28 21:39:58 2007 => Anzahl der desinfizierten Dateien: 0
Fri Dec 28 21:39:58 2007 => Umbenannte Dateien: 0
Fri Dec 28 21:39:58 2007 => Anzahl der gelöschten Dateien: 0
Fri Dec 28 21:39:58 2007 => Anzahl Fehler: 267
Fri Dec 28 21:39:58 2007 => Dauer des Scans bisher: 00:09:30
Fri Dec 28 21:39:58 2007 => Virus-Datenbank Datum: 12/27/2007
Fri Dec 28 21:39:58 2007 => Virus-Datenbank Zähler: 495625

Fri Dec 28 21:39:58 2007 => Scan vollständig.



Lohnt es sich den eScan zu kaufen, denn die Freeware Version ändert ja nichts an den Problemen, sondern erkennt sie nur?

Schau dir mal die Escan Anleitung hier aus dem Forum an. Da kannst du eine Datei runterladen, die das riesige log übersichtlich zusammenfasst, völlig automatisch. Einfach doppelklick drauf und dann postest du das hier im Thread. Weil mit dem bischen kann man denke ich nicht soviel anfangen.

Selbst wenn du die Vollversion von Escan hättest, denke ich nicht, dass es Vundo entfernen kann. Nicht mal mit killbox geht das. Da muss man schon echt härtere Geschütze fahren, da die betreffende Datei abgeriegelt wie Fort Knox ist.
Ich kanns halt auch nicht besser beschreiben aber bald dürfte Hilfe eintreffen

Also gehen wir mal davon aus, dass du 40 potentielle Viren hast, ist das schon enorm. Der Rest ist halt falscher Alarm. Aber sieht ganz so aus als hättest du dir ein dickes Virenpaket eingefangen mit trojan downloader, wohlmöglich zlob. Das beste ist, wenn du die Verbindung erstmal trennst und von Zeit zu zeit reinschaust und dann einfach nur den Anweisungen folgen.

Jenachdem wie lange das schon so läuft könnnen sich backdoortrojaner eingeschlichen haben, die mit deinem PC unfug treiben. Lass Antivir soweit erstmal durchlaufen und entferne das gröbste und trenne die Internetverbindung, damit nichts weiter aus dem Netz geladen werden kann.

Zitat:

Alslo irgendwie findet Escan immernoch Trojan-downloader.bat.ftp und smitfraud.browser.hijacker

bitte poste immer alle logs.

wir sind erst am Anfang..

Zitat:

Lohnt es sich den eScan zu kaufen

nein, das machen wir selbst..
Wir müssen dein System auf Dateien und Prozesse scannen, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en): alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen) nichts am Rechner getan werden

Lade dir das Programm GMER (http://www.gmer.net/gmer.zip) von www.gmer.net runter.
-Entpacke es wenn du kein Zip-Programm hast, kannst du dir eine Testversion kostenlos runterladen:
Winzip (WinZip® - The Zip File Utility for Windows - Zip/Unzip, Encrypt/Decrypt)
-Starte es mit einem doppelklick auf die gmer.exe
-Sollte eine Fehlermeldung auftauchen einfach nein, oder no wählen.
-Wähle jetzt den Reiter Rootkit aus.

http://image.hijackthis.eu/gmer/reiter5ji.png

-1.Klicke nun rechts unten auf Scann
-2.Nach dem scann klicke rechts unten auf Copy

http://image.hijackthis.eu/gmer/scann5ft.png

Vor dem nächsten Schritt bitte die Vierenscanner wieder aktivieren!

-Öffne nun deinen Thread im HijackThis-Forum
-Klicke mit rechts in die Textbox und wähle Einfügen.

Nun ist das Ergebnis von GMER in deinen Thread eingefügt.

Werde ich tun. Aber kann das Escan log gerade nicht komprimieren, weil er irgendein Sprachproblem hat, bei dem Versuch die bat zutzen. Bekomme das jetzt auch nicht gefixt. Muss ich die große hochladen.

So habs jetzt mal hochgeladen. Hoffe damit lässt sich was Anfangen. Wie gesagt, kann es grad nicht komprimieren, tut mich leid.

RapidShare Webhosting + Webspace

Führe den eScan bitte nocheinmal durch und wähle Deutsch als Sprache. Dann sollte es klappen.

Und führe bitte den GMER scan durch!

Also nachdem bei mir vor ca. 1 Woche gar nichts mehr (z.B. Windows nur noch im abgesicherten Modus...) klappte, musste ich formatieren. Nun klappts natürlich wieder.

Trotzdem vielen Dank für Eure Hilfe!!! Tolles Forum hier!!!