TR/Vundo.Gen nicht löschbar

PalimPalim · 27.12.2007, 16:46

So, hier nun der Antivir report

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 27. Dezember 2007 16:40

Es wird nach 993748 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: F****
Computername: F****-OEGG4E9

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 15:28:48
ANTIVIR2.VDF : 7.0.1.157 286720 Bytes 26.12.2007 15:28:48
ANTIVIR3.VDF : 7.0.1.163 17920 Bytes 27.12.2007 15:28:48
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 27.12.2007 15:28:48
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 27.12.2007 15:28:48
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 27. Dezember 2007 16:40

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinRAR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nTuneService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\awtsrsq.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\awtsrsq.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen

Die Registry wurde durchsucht ( '33' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\bx93sjgx.default\Cache\3397BD01d01
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.cro
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47accb44.qua' verschoben!
C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\gos10A.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.PEC2X.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e6cb8b.qua' verschoben!
C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\gosF8.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.PEC2X.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e6cb8d.qua' verschoben!
C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\win10E.exe
[FUND] Ist das Trojanische Pferd TR/Zlob.CA.78
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e1cb8c.qua' verschoben!
C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\winFE.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XDR.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e1cb93.qua' verschoben!
C:\WINDOWS\system32\awtsrsq.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Ende des Suchlaufs: Donnerstag, 27. Dezember 2007 17:30
Benötigte Zeit: 50:21 min

Der Suchlauf wurde vollständig durchgeführt.

7275 Verzeichnisse wurden überprüft
407396 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
407389 Dateien ohne Befall
3445 Archive wurden durchsucht
4 Warnungen
51 Hinweise

PalimPalim · 27.12.2007, 17:33

Hallo,

habe mir wie so viele diesen tollen Trojaner eingefangen, welchen ich auch mit Vundofix nicht wegbekomme. Sowohl abgesicherten Modus als auch ohne. Erst hat er zwei Dateien gefunden, welche ich daraufhin gelöscht habe. Nun ist Vundo aber immernoch auf dem Rechner und Vundofix findet nix mehr. Habe hier mal ein HijackThis logfile erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 17:16:41, on 27.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
c:\programme\avira\antivir personaledition classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p:// Google
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\PROGRA~1\DAP\SBSearch.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - C:\Programme\Kbenhqmw\ljjkjrol.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {DB0B918E-A0A8-482B-8D75-A682816B0C7B} - C:\WINDOWS\system32\awtsrsq.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [qlipudif] rundll32.exe "C:\Programme\qlipudif\iruhqrqd.dll",Init
O4 - HKLM\..\Run: [mrepmbon] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: awtsrsq - C:\WINDOWS\SYSTEM32\awtsrsq.dll
O20 - Winlogon Notify: winowl32 - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe

So, hoffe das das so jetzt inordnung ist. Ein Antivir Logfile folgt auf dem Fuße

Seitsef · 27.12.2007, 18:08

Hallo, also lade das mal bei Visutotal.com hoch und Poste das Ergebniss.
Und zwar forgendes:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll
C:\WINDOWS\system32\awtsrsq.dll

Fixe das hier im Abgesicherten Modus:

Code:

ATTFilter

O4 - HKLM\..\Run: [mrepmbon] regsvr32 /u "C:\Dokumente und Einstellungen\All 
--
Users\Anwendungsdaten\mrepmbon.dll"
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
--
O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - C:\Programme\Kbenhqmw\ljjkjrol.dll (file missing)
--
Unbekannt
R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\PROGRA~1\DAP\SBSearch.dll (file missing)
--
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
--
O4 - HKLM\..\Run: [mrepmbon] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll"
--

Dann kannst du dir noch VundoFix runterladen und durchlaufen lassen.
Anleitung&Download

MFG Seitsef

PalimPalim · 27.12.2007, 18:18

Sorry, hab keine Ahnung von der ganzen Sache. Also wenn ich den Dateipfad da angebe und auf senden gehe, komm bloß "0 bytes size received / Se ha recibido un archivo vacio"
Wie soll das funktionieren?
Und wie soll ich die Zeilen denn fixen?
Also hab das nochmal per email probiert, weil die Systeme wohl ausgelastet sind und man gerade keinen check machen kann. Dummerweise lässt sich die eine Datei nicht anhängen und die andere gibt es scheinbar garnicht mehr:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll

undoreal · 27.12.2007, 21:42

Hallo PalimPalim.

Uodate deinen i_Net Explorer bitte auf die aktuelle 7ner Version. Auch wenn du ihn nicht nutzt

Danach führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

* Blacklight
* Silentrunners
* combofix

* eScan

halte bitte die Reihenfolge ein und starte den Rechner nach dem eScan NICHT neu! Poste das log und warte ab bis ich dir zurückgeschrieben habe! Deinen Rechner stört es übrigens nicht wenn er mal eine Nacht durchläuft..

PalimPalim · 28.12.2007, 00:46

Ok, also hier schonmal die ersten 3. Escan folgt wohl erst morgenfrüh, werde den Rechner rnicht ausschalten bis dahin.

Blacklight

12/27/07 23:41:18 [Info]: BlackLight Engine 1.0.67 initialized
12/27/07 23:41:18 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/27/07 23:41:18 [Note]: 7019 4
12/27/07 23:41:18 [Note]: 7005 0
12/27/07 23:41:22 [Note]: 7006 0
12/27/07 23:41:22 [Note]: 7011 1840
12/27/07 23:41:22 [Note]: 7026 0
12/27/07 23:41:23 [Note]: 7026 0
12/27/07 23:41:23 [Note]: FSRAW library version 1.7.1024
12/27/07 23:44:49 [Note]: 2000 1012
12/27/07 23:45:45 [Note]: 7007 0

Habe ich jetzt kein anderes logfile zu gefunden..

Silent Runners:

"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"NVIDIA nTune" = ""C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear" ["NVIDIA"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"0IP5J3bsBJ" = "rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."]
"RivaTuner" = ""C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T" [empty string]
"NvCplDaemon" = ""RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = ""nwiz.exe" /install" ["NVIDIA Corporation"]
"NvMediaCenter" = ""RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"RivaTunerStartupDaemon" = ""C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S" [empty string]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"NoIE4StubProcessing" = "C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f" [MS]

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}\(Default) = "IE7 Uninstall Stub"
\StubPath = "C:\WINDOWS\system32\ieudinit.exe" [MS]
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig" [MS]
>{60B49E34-C7CC-11D0-8953-00A0C90347FF}\(Default) = "Browser Customizations"
\StubPath = "RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP" [MS]
{89820200-ECBD-11cf-8B85-00AA005B4383}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\ie4uinit.exe -BaseSettings" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{76F262CF-0308-0FB4-F7A3-043266F3A47C}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kbenhqmw\ljjkjrol.dll" [file not found]
{DB0B918E-A0A8-482B-8D75-A682816B0C7B}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\awtsrsq.dll" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}" = "PowerISO"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{DB0B918E-A0A8-482B-8D75-A682816B0C7B}" = "*b" (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\awtsrsq.dll" [file not found]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> awtsrsq\DLLName = "awtsrsq.dll" [file not found]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"]
PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"]
PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"]
PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ClassicShell" = (REG_DWORD) dword:0x00000000
{User Configuration|Administrative Templates|Windows Components|Windows Explorer|
Enable Classic Shell / Turn on Classic Shell}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"

Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 14
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
<<H>> "{F4F10C1D-87C7-404A-B4B3-000000000000}" = (no title provided)
-> {HKLM...CLSID} = "SrchHook Class"
\InProcServer32\(Default) = "C:\PROGRA~1\DAP\SBSearch.dll" [file not found]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
nTune Service, nTuneService, "C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe /StartService" ["NVIDIA"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data]

---------- (launch time: 2007-12-27 23:50:44)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 30 seconds, including 18 seconds for message boxes)

PalimPalim · 28.12.2007, 20:51

Alslo irgendwie findet Escan immernoch Trojan-downloader.bat.ftp und smitfraud.browser.hijacker

Vielleicht nur ein fehlalarm von Escan?
hier mein aktuelles hijk log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:02, on 28.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\RivaTuner v2.06\RivaTuner.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Antispyware\HiJackThis202.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 3167 bytes

Sprewell · 28.12.2007, 21:17

Hallo. Ich hoffe ich störe hier nicht eine Diskussion aber mein Problem schlägt genau in die gleiche Bresche. Ich habe den Vundo-Trojaner bzw. einen TR/Drop.Agent.dgo.8 (oder andere Nummer).

Meine Problemdatei ist laut vundovix.exe folgende:

C:\Windows\System32\ssqrq.dll

Zwischenzeitlich hatte ich noch im gleichen Ordner die iifddbx.dll oder qrqss.ini oder qrqss.ini2 oder mljdg.dll

Mit den AntiVirus-Programmen hab ich den Vundo erst gar nicht entdeckt (habe den "Jotti-Malware"Scan gemacht. Der erkannte die mljdg.dll als Vundo infiziert - AntiVir, Avast, Bitdefender etc. finden hingegen nichts. Auch Adware 2007 und Spybot nicht. )

Das Problem ist, dass ich die Datei ssqrq.dll weder mit Killbox noch mit dem Vundofix (auch nicht wenn Systemwiederherstellung deaktiviert ist) wegbekomme. Einmal hab ich sogar gesehen, wie sie sich selbst wieder "erschuf". Auch im abgesicherten Modus komme ich nicht weiter.
Und dieser Trojaner zerstört auch noch meine ZoneLabs Firewall und Antivir etc.

Komme hier echt nicht mehr weiter.

Ach und Antivir findet im ssqrq.dll nichts aber manchmal in den Temp dateien folgenden Trojaner:

TR/Drop.Agent.dgo.8 (wie schon oben gesagt)

Hier mein HJT File

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:12, on 28.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Anwendungen\Lavasoft\Ad-aware 2007\aawservice.exe
C:\Anwendungen\AntiVir PersonalEdition Classic\sched.exe
C:\Anwendungen\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Anwedungen\ProcessGuard\dcsuserprot.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\ANWEND~1\TRISNA~1\SSI\SYSENF~1.EXE
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Anwendungen\Zone Labs\ZoneAlarm\zlclient.exe
C:\Anwendungen\Zone Labs\ZoneAlarm\zlclient .exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Anwendungen\T-Com\OnlineControl\ocontrol.exe
C:\Anwendungen\ATITool\ATITool.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\system32\rundll32.exe
D:\Eigene Dateien\DOWNLOADS\KillBox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Anwendungen\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Anwendungen\Bitdefender\vsserv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Anwendungen\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Programme\Mplayer\Assets\Blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.130.10.167:2
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Anwendungen\ICQToolbar\toolbaru.dll
F3 - REG:win.ini: load=C:\WINDOWS\system32\ssqrq.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Anwendungen\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BDMCon] "C:\Anwendungen\Bitdefender\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Anwendungen\Bitdefender\bdagent.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Anwendungen\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Anwendungen\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user')
O4 - Startup: ATITool.lnk = C:\Anwendungen\ATITool\ATITool.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Global Startup: OnlineControl.lnk = C:\Anwendungen\T-Com\OnlineControl\ocontrol.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Anwendungen\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Anwendungen\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Anwendungen\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Anwendungen\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Anwendungen\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093022517812
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175024247125
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{24D8F93F-2CDE-4107-BDF0-A49EAB65F44E}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{89CE64EC-0F2C-4FDB-B122-94C1672DF215}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{BED2C924-4804-4E0E-86D8-1F7A350295D6}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2C97039-7BB7-44B9-B437-7EAE4D5C9793}: NameServer = 85.255.115.116,85.255.112.169
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Anwendungen\Lavasoft\Ad-aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Anwendungen\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Anwendungen\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Anwedungen\ProcessGuard\dcsuserprot.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - DiamondCS - (no file)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SysEnforce - Unknown owner - C:\ANWEND~1\TRISNA~1\SSI\SYSENF~1.EXE
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Anwendungen\Bitdefender\vsserv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 9884 bytes

PalimPalim · 28.12.2007, 21:20

Sei da aufjednefall vorsichtig. Ich hatte das Gefühl, dass er sich meines Antivirs bemächtigt hat. Daraufhin hab ich es einfach deaktiviert. Nutze Escan, wie ich das momentan mache und lies dir den thread schonmal durch, könnt ne lange session werden, auch für dich.
Vundo oder Zlob machen sowieso was sie wollen, da hilft nur Pistole auf die Brust.

Sprewell · 28.12.2007, 21:45

Na dann danke schon mal für die schnelle Antwort.

Der eScan wirft ja unglaublich viel aus! (Dass ich mal Kazaa aufm PC hatte, wusste ich gar nicht mehr...)

Hier eine Übersicht (das Protokoll ist ca 950.000 Zeichen lang...)

Fri Dec 28 21:39:58 2007 => Gescannte Dateien: 44135
Fri Dec 28 21:39:58 2007 => Gefundene Viren: 57
Fri Dec 28 21:39:58 2007 => Anzahl der desinfizierten Dateien: 0
Fri Dec 28 21:39:58 2007 => Umbenannte Dateien: 0
Fri Dec 28 21:39:58 2007 => Anzahl der gelöschten Dateien: 0
Fri Dec 28 21:39:58 2007 => Anzahl Fehler: 267
Fri Dec 28 21:39:58 2007 => Dauer des Scans bisher: 00:09:30
Fri Dec 28 21:39:58 2007 => Virus-Datenbank Datum: 12/27/2007
Fri Dec 28 21:39:58 2007 => Virus-Datenbank Zähler: 495625

Fri Dec 28 21:39:58 2007 => Scan vollständig.

Lohnt es sich den eScan zu kaufen, denn die Freeware Version ändert ja nichts an den Problemen, sondern erkennt sie nur?

PalimPalim · 28.12.2007, 21:52

Schau dir mal die Escan Anleitung hier aus dem Forum an. Da kannst du eine Datei runterladen, die das riesige log übersichtlich zusammenfasst, völlig automatisch. Einfach doppelklick drauf und dann postest du das hier im Thread. Weil mit dem bischen kann man denke ich nicht soviel anfangen.

Selbst wenn du die Vollversion von Escan hättest, denke ich nicht, dass es Vundo entfernen kann. Nicht mal mit killbox geht das. Da muss man schon echt härtere Geschütze fahren, da die betreffende Datei abgeriegelt wie Fort Knox ist.
Ich kanns halt auch nicht besser beschreiben aber bald dürfte Hilfe eintreffen

Also gehen wir mal davon aus, dass du 40 potentielle Viren hast, ist das schon enorm. Der Rest ist halt falscher Alarm. Aber sieht ganz so aus als hättest du dir ein dickes Virenpaket eingefangen mit trojan downloader, wohlmöglich zlob. Das beste ist, wenn du die Verbindung erstmal trennst und von Zeit zu zeit reinschaust und dann einfach nur den Anweisungen folgen.

Jenachdem wie lange das schon so läuft könnnen sich backdoortrojaner eingeschlichen haben, die mit deinem PC unfug treiben. Lass Antivir soweit erstmal durchlaufen und entferne das gröbste und trenne die Internetverbindung, damit nichts weiter aus dem Netz geladen werden kann.

undoreal · 28.12.2007, 21:57

Zitat:

Alslo irgendwie findet Escan immernoch Trojan-downloader.bat.ftp und smitfraud.browser.hijacker

bitte poste immer alle logs.

wir sind erst am Anfang..

Zitat:

Lohnt es sich den eScan zu kaufen

nein,

das machen wir selbst..
Wir müssen dein System auf Dateien und Prozesse scannen, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en): alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen) nichts am Rechner getan werden

Lade dir das Programm GMER (http://www.gmer.net/gmer.zip) von www.gmer.net runter.
-Entpacke es wenn du kein Zip-Programm hast, kannst du dir eine Testversion kostenlos runterladen:
Winzip (WinZip® - The Zip File Utility for Windows - Zip/Unzip, Encrypt/Decrypt)
-Starte es mit einem doppelklick auf die gmer.exe
-Sollte eine Fehlermeldung auftauchen einfach nein, oder no wählen.
-Wähle jetzt den Reiter Rootkit aus.

http://image.hijackthis.eu/gmer/reiter5ji.png

-1.Klicke nun rechts unten auf Scann
-2.Nach dem scann klicke rechts unten auf Copy

http://image.hijackthis.eu/gmer/scann5ft.png

Vor dem nächsten Schritt bitte die Vierenscanner wieder aktivieren!

-Öffne nun deinen Thread im HijackThis-Forum
-Klicke mit rechts in die Textbox und wähle Einfügen.

Nun ist das Ergebnis von GMER in deinen Thread eingefügt.