Hallo!
Ich habe einen oder evtl sogar mehrere Trojaner auf meinem PC.
Ich nutze die Antiviren Programme "Avira Antivir" und "Ad-Aware SE Personal"

Beschreibung meines Problems:
Nachdem ich den PC gebootet hab, kommt sofort nach dem Willkommensgruß die Meldung von Avira, dass ich einen Trojaner, namens TR/Drop.Agent.dgo8 in meinem System32 Ordner hab.
Ich habe schon versucht den Virus dann per Avira zu löschen oder in die Quarantäne zu verfrachten um ihn von da aus zu löschen, das scheint zwar immer zu funktionieren, aber mein Antiviren Programm meldet sich immer wieder nachdem der Rechner neu hochgefahren ist.

Ich habe mich schon seit 4 Tagen mit meinem Problem beschäftigt (hab Freunde gefragt und viel gegoogelt). Bei meiner Googlerecherche hab ich gelesen, dass man die .exe-Datei, die der Virus ja ist, im abgesicherten Modus löschen kann.
Das hab ich dann auch versucht, und die Datei wurde in den Papierkorb verfrachtet und von dort aus ins Nirvana geschickt, aber beim nächsten mal booten, kam wieder die Meldung, dass sich der Virus in der Datei vtsqp.exe, im system32 befindet...
Der Trojaner macht sich auch in keinster Weiße bemerkbar, außer, dass Avira mir jedesmal anzeigt, dass er existiert, wa smit natürlich Sorgen bereitet.

Nun meine Bitte: kennt sich jemand hier mit diesem Problem aus, und könnte mir weiter helfen? Ich bin bei meinen Recherchen auf dieses Forum gestoßen und es kam mir sehr seriös vor, daher wollte ich jetzt hier mein Glück versuchen...

Ich danke allen, die mir versuchen zu helfen

Lad dir mal HijackThis runter , installier es , klick "Do a system scan and save a logfile" und dann kopier den Log ohne Veränderungen hier rein.

Hier kannst du HijackThis downloaden:

HijackThis 2.0.2 - Freeware - ZDNet.de, Downloads, Internet & Kommunikation, Sonstige

Danke, für die Hilfe!

Hier der Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:11:50, on 03.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\lgbjrotu.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Spiele\Counter-Strike Source\hl2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\Last.fm\LastFM.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\lgbjrotu.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5588 bytes



Damit kann ich leider gar nichts anfangen...

Fixe folgende Einträge ( Häkchen vor die einträge setzten und auf fixen klicken) :

C:\WINDOWS\system32\lgbjrotu.exe

F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqp.exe

O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)

O23 - Service: DomainService - - C:\WINDOWS\system32\lgbjrotu.exe


Danach lass Antivir im Abgesicherten Modus (F8 beim Booten drücken) scannen , und behebe gefundene Infektionen

Hallo,

@ Dr.PC
Als Doktor sollte man mehr können als ein Logfile in die automatische Auswertung zu stecken..
Insbesondere sollte man sich vor vorschnellen Hilfestellungen hüten ,wenn das eigentliche Problem nicht erkannt ist !!
Wo auch immer du deinen Doktor herhast...bei mir dürftest du nach Lage der Dinge nicht mal studieren....

@larian
lasse diese Datei

Zitat:

C:\WINDOWS\system32\lgbjrotu.exe

bei www.virustotal auswerten und poste das vollständige Ergebniss

Irrlicht

@ irrlicht:

ich stecks nicht nur in die Automatische Auswertung denn das könnte ja jeder^^ Nur wenn die Automatische Auswertung einen Prozess als unbekannt erkennt wird es nicht gerade ein vertrauenswürdiges Programm sein , und da sogar sein Antivir meldet das er einen Trojaner hat liegt es doch nahe das dieser Prozzes etwas mit dem Trojaner zu tun hat oder???

Danke @ Irrlicht

Das Ergebnis:
Virustotal. MD5: 2881a2cc5b73c800e65f723a734fb7ba Trojan.Vundo AdClicker-FK Trojan-Downloader.Win32.Agent.gwe

damit weiß ich leider auch nichts anzufangen

Nicht gut, kannst Du das bei dieser Datei auch noch mal machen?

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\vtsqp.exe
         

Zitat:

Zitat von Clermont-Ferrand

Nicht gut, kannst Du das bei dieser Datei auch noch mal machen?

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\vtsqp.exe
         

Die Datei gibt es nicht, bzw. ich habe nur eine Datei im System32 Ordner die vtsqp.dll heißt.
Ich scann die mal.

Danke für deine Hilfe!

EDIT:
Hier der Scan:
Virustotal. MD5: e2ebc4c7c1a06e8be9aecf3dd263ccfc Trojan.Vundo Win32/Adware.Virtumonde.FP Trojan.Vundo.DUH

larian

Es ist Ad- bzw. Spyware *Virtumonde*, Du hast 2 Möglichkeiten, entweder Bereinigungsversuch mit Vundofix oder format : C resp. Image zurückspielen.

Link zu Vundofix:

Vundofix

Die 2. Möglichkeit ist selbsterklärend.

Unterschiede der beiden Methoden, die 1. ist unsicher, die 2. ist sicher.

Das hört sich ja gar nich gut an

Könnte ich nich einfach Windows neu installieren?

Zitat:

Zitat von larian

Das hört sich ja gar nich gut an

Könnte ich nich einfach Windows neu installieren?

Schau mal eine Seite zurück, habe ich Dir dort schon beantwortet.

Zitat:

Es ist Ad- bzw. Spyware *Virtumonde*, Du hast 2 Möglichkeiten, entweder Bereinigungsversuch mit Vundofix oder format : C resp. Image zurückspielen.

Sry für's eigene zitieren, mit format : C ist gemeint, Windows nicht einfach *drüber* zu installieren, sondern die Festplatte zu formatieren und dann das Betriebssystem neu zu installieren.

Danke für eure Hilfen!

Mit Vundofix habe ich alle Trojaner runterbekommen!


Danke an alle dir mir geholfen haben