Hallo,
ich hab bei den letzten scans die beiden oben genannten viren gefunden und hab auch einiges hier ausm board versucht z.b. vundofix, da die viren unter anderem in den dateien awttqon.dll und vtsqn.dll auftauchten. vundofix konnte alle sachen löschen bis auf awttqon.dll. hab danach noch ma antivir durchlaufen lassen der hat aber nichts mehr gefunden und in den backup ordner von vundofix steht die awttqon.dll auch drin... Nun frage ich mich ob der virus entgültig weg ist oder sich doch noch iwo versteckt, da im security task manager immer noch die prozesse angezeigt und als 92% gefährlich ausgewiesen werden... Außerdem kam grad noch eine Meldung von Antivir, dasser schon wieder TR/Drop.Agent.dgo.21 (21 ist neu) in der datei vtsqn.dll gefunden hat...
was kann ich tun?

Mein Hijackthis-log:
Logfile of HijackThis v1.99.1
Scan saved at 16:52:42, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon .exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\programme\Last.fm\LastFMHelper.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\programme\Security Task Manager\TaskMan.exe
C:\Documents and Settings\***\Desktop\ABC.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll
O2 - BHO: (no name) - {F0F74555-5C19-4591-9716-CC967C88ED3D} - C:\WINDOWS\system32\vtsqn.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Hallo L3g3nD.


Arbeite zunächst das hier ab:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\vtsqn.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren



Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)



Gruß
Sunny

das is das ergebnis von virustotal aber kp wo der HASH Steht und die datei vtsqn.exe habe ich nur nur die vtsqn.dll die habe ich hochgeladen anstatt der exe...:

Datei vtsqn.dll empfangen 2008.01.06 17:20:48 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.5.11 2008.01.05 Win-AppCare/Virtumonde.344576
AntiVir 7.6.0.46 2008.01.06 -
Authentium 4.93.8 2008.01.05 -
Avast 4.7.1098.0 2008.01.06 Win32:TratBHO
AVG 7.5.0.516 2008.01.06 Generic9.AKAR
BitDefender 7.2 2008.01.06 Trojan.Vundo.DUH
CAT-QuickHeal 9.00 2008.01.05 AdWare.Virtumonde.dih (Not a Virus)
ClamAV 0.91.2 2008.01.06 Trojan.Vundo-851
DrWeb 4.44.0.09170 2008.01.06 -
eSafe 7.0.15.0 2008.01.06 -
eTrust-Vet 31.3.5432 2008.01.04 Win32/Vundo.JD
Ewido 4.0 2008.01.06 -
FileAdvisor 1 2008.01.06 -
Fortinet 3.14.0.0 2008.01.06 -
F-Prot 4.4.2.54 2008.01.05 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13030.0 2008.01.05 -
Ikarus T3.1.1.15 2008.01.06 Trojan.Vundo.DUH
Kaspersky 7.0.0.125 2008.01.06 not-a-virus:AdWare.Win32.Virtumonde.dih
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.06 Trojan:Win32/Vundo.gen!A
NOD32v2 2767 2008.01.06 Win32/Adware.Virtumonde.FP
Norman 5.80.02 2008.01.04 Vundo.AL
Panda 9.0.0.4 2008.01.06 Spyware/Virtumonde
Prevx1 V2 2008.01.06 Trojan.Vundo
Rising 20.25.62.00 2008.01.06 Trojan.Win32.Undef.awg
Sophos 4.24.0 2008.01.06 W32/VirtInf-B
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.06 Trojan.Vundo
TheHacker 6.2.9.181 2008.01.05 -
VBA32 3.12.2.5 2008.01.06 AdWare.Win32.Virtumonde.dih
VirusBuster 4.3.26:9 2008.01.06 Adware.Vundo.V.Gen
Webwasher-Gateway 6.0.1 2008.01.06 -
weitere Informationen
File size: 344576 bytes
MD5: 0466723e693c1f8ec118e13ff1bc3498
SHA1: cdb5d62830edef3728a06f3d9606dc082467f212
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=39460568004E1328421805B09B7DCF007FED16C7

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.5.11 2008.01.05 Win-AppCare/Virtumonde.344576
AntiVir 7.6.0.46 2008.01.06 -
Authentium 4.93.8 2008.01.05 -
Avast 4.7.1098.0 2008.01.06 Win32:TratBHO
AVG 7.5.0.516 2008.01.06 Generic9.AKAR
BitDefender 7.2 2008.01.06 Trojan.Vundo.DUH
CAT-QuickHeal 9.00 2008.01.05 AdWare.Virtumonde.dih (Not a Virus)
ClamAV 0.91.2 2008.01.06 Trojan.Vundo-851
DrWeb 4.44.0.09170 2008.01.06 -
eSafe 7.0.15.0 2008.01.06 -
eTrust-Vet 31.3.5432 2008.01.04 Win32/Vundo.JD
Ewido 4.0 2008.01.06 -
FileAdvisor 1 2008.01.06 -
Fortinet 3.14.0.0 2008.01.06 -
F-Prot 4.4.2.54 2008.01.05 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13030.0 2008.01.05 -
Ikarus T3.1.1.15 2008.01.06 Trojan.Vundo.DUH
Kaspersky 7.0.0.125 2008.01.06 not-a-virus:AdWare.Win32.Virtumonde.dih
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.06 Trojan:Win32/Vundo.gen!A
NOD32v2 2767 2008.01.06 Win32/Adware.Virtumonde.FP
Norman 5.80.02 2008.01.04 Vundo.AL
Panda 9.0.0.4 2008.01.06 Spyware/Virtumonde
Prevx1 V2 2008.01.06 Trojan.Vundo
Rising 20.25.62.00 2008.01.06 Trojan.Win32.Undef.awg
Sophos 4.24.0 2008.01.06 W32/VirtInf-B
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.06 Trojan.Vundo
TheHacker 6.2.9.181 2008.01.05 -
VBA32 3.12.2.5 2008.01.06 AdWare.Win32.Virtumonde.dih
VirusBuster 4.3.26:9 2008.01.06 Adware.Vundo.V.Gen
Webwasher-Gateway 6.0.1 2008.01.06 -

weitere Informationen
File size: 344576 bytes
MD5: 0466723e693c1f8ec118e13ff1bc3498
SHA1: cdb5d62830edef3728a06f3d9606dc082467f212
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=39460568004E1328421805B09B7DCF007FED16C7


hyjackthis und vundofix hatte ich ja wie bereits geschrieben schon vorher durchgeführt gehabt, soll ich das noch ma machen?

Nein, poste nun noch mal ein Hijacklog, ich muss sehen was vundofix alles gelöscht hat, dann geht es weiter.

awttqon.dll.bat,fccyaxw.dll.bat,nqstv.ini2.bad,nqstv.ini.bad,vtsqn.dll.bad stand im vundofix backups ordner ich hab jetzt grad noch ma durchlaufen lassen und er fand wieder die gleichen dateien... so und dann noch mehrer komische sachen als ich auf remove vundo geklickt hab kam error pfad irgendne zahl net gefunden und dann konnte er die dateien net löschen wollte neustarten und dann erneut versuchen hab ich auch gemacht und dann kam wieder das vundofix fenster aber keine dateien zum löschen mehr drin gewesen... so dann hat sich vundofix geschlossen und antivir hat sich gemeldet dasses nen trojaner inner vtsqn.exe gefunden hab, ich bin auf delete gegangen aber dann stand da das diese datei nicht gefunden werden konnte?!? iwas läuft da ziemlich falsch... als letztes kam noch ne windowsmeldung das die anwendung der vtsqn.exe nicht gefunden wurde etc.
hier noch ma nen HijackThis log:
Logfile of HijackThis v1.99.1
Scan saved at 17:52:42, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\programme\Last.fm\LastFMHelper.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\***\Desktop\ABC.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll
O2 - BHO: (no name) - {C0F1A38B-820F-4B8A-8446-F71DF88750DA} - C:\WINDOWS\system32\vtsqn.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

komische sachen... hoffe du kannst mir weiterhelfen danke schon ma im voraus

immer ruhig bleiben:

Zunächst bitte folgendes:


Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\vtsqn.exe
C:\WINDOWS\system32\awttqon.dll
C:\WINDOWS\system32\vtsqn.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Poste ausserdem den Inhalt der C:\avenger.txt Datei.



MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

Zitat:

als letztes kam noch ne windowsmeldung das die anwendung der vtsqn.exe nicht gefunden wurde etc.

Da kümmern wir uns gleich drum..

Außerdem noch mal ein neues Hijacklog, ich muss sehen was alles entfernt wurde!

also das is die avenger.txt:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nrfqnree

*******************

Script file located at: \??\C:\Program Files\dfygxpgc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\vtsqn.exe not found!
Deletion of file C:\WINDOWS\system32\vtsqn.exe failed!

Could not process line:
C:\WINDOWS\system32\vtsqn.exe
Status: 0xc0000034

File C:\WINDOWS\system32\awttqon.dll deleted successfully.
File C:\WINDOWS\system32\vtsqn.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

danach hab ich neugestartet und antivir hat wieder den TR/Drop.Agent.dgo.8 gefunde aber diesmal auch in TMP dateien mit zahlen... danach kam wieder die meldung das vtsqn.exe net gefunden werden konnte...

bin jetzt schon knapp ne halbe stunde mit escan am suchen hat schon 50 viren und 67 fehler gefunden allerdings kam auch die meldung das ich zum entfernen escan kaufen muss... sobalds fertig ist poste ich das ergebnis

Poste als erstes das Ergebnis von eScan, erst dann machen wir weiter.

Obwohl, das hier kannst du schon machen, damit nach dem Neustart keine Meldung mehr kommt das eine Datei fehlt:


Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)

Zitat:

vtsqn.exe

Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

ergebnis von escan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.4
Sprache: German
Virus-Datenbank Datum: 1/6/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "perfwo Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "perfwo Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with peopleonpage Spyware/Adware (load.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\vtsqn.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\programme\powerdvd\Language\Language.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ctfmon.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\CTFMON.EXE infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ctfmon.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ctfmon.exe.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\vtsqn.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX43.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX45.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX49.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX4B.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX53.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX59.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCXBD.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCXC3.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX43.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX45.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX49.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX4B.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX53.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX59.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCXBD.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCXC3.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\programme\powerdvd\Language\Language.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\programme\powerdvd\PDVDServ.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ctfmon.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ctfmon.exe.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\vtsqn.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\vtsqn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\vtsqn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei E:\Programme\VNC4\WinVNC4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
File C:\WINDOWS\system32\vtsqn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\mirc631.exe//stream//data0014 markiert als not-a-virus:Client-IRC.Win32.mIRC.631. Keine Aktion vorgenommen.
File C:\DOCUME~1\Jonny\LOCALS~1\Temp\NeroDemo12547\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\avenger\backup.zip/avenger/awttqon.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\mirc631.exe//stream//data0014 markiert als not-a-virus:Client-IRC.Win32.mIRC.631. Keine Aktion vorgenommen.
File C:\Documents and Settings\Jonny\Local Settings\Temp\NeroDemo12547\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.631. Keine Aktion vorgenommen.
File C:\WINDOWS\system32\vtsqn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei E:\Downloads\mirc631.exe//stream//data0001//stream//data0014 markiert als not-a-virus:Client-IRC.Win32.mIRC.631. Keine Aktion vorgenommen.
Datei E:\Programme\VNC4\vncconfig.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei E:\Programme\VNC4\vncviewer.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei E:\Programme\VNC4\winvnc4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei E:\Programme\VNC4\wm_hooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\DOCUME~1\Jonny\LOCALS~1\Temp\war3_install.exe
Offending file found: C:\Documents and Settings\Jonny\Desktop\exen\load!0.47.1\load.exe
Offending file found: E:\cs-lan\valve\sound\vox\found.wav
Offending file found: E:\cslan\valve\sound\vox\found.wav
Offending file found: E:\steam\support.url
Offending file found: C:\Documents and Settings\Jonny\Local Settings\temp\nerodemo12547\toolbar.exe
Offending file found: C:\Documents and Settings\Jonny\Local Settings\temp\war3_install.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Program Files\powerstrip
Offending Folder found: C:\Documents and Settings\Jonny\Application Data\icq\bart\1024
Offending Folder found: E:\downloads\244690023 jan h\aoe ii\data\load
Offending Folder found: C:\Documents and Settings\Jonny\Start Menu\programs\powerstrip
Offending Folder found: C:\Documents and Settings\Jonny\Start Menu\Programs\powerstrip
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\powerstrip !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\load !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\powerstrip !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS\mui\FALLBACK\0407\cicap.sys.mui nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\mui\FALLBACK\0407\sk98xwin.sys.mui nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 123276
Gefundene Viren: 64
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 110
Dauer des Scans bisher: 01:19:28
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:55:17,98
Batchende: 19:55:32,01




und registrysearch:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 06.01.2008 19:16:28 for strings:
; 'vtsqn.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load]
"command"="C:\\WINDOWS\\system32\\vtsqn.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
"000"="vtsqn.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\vtsqn.exe"="vtsqn"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINDOWS\\system32\\vtsqn.exe"

; End Of The Log...

und dann noch ma hjt-log:
Logfile of HijackThis v1.99.1
Scan saved at 19:57:18, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\***\Desktop\ABC.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll (file missing)
O2 - BHO: (no name) - {DC25336A-3C4B-4B7E-8A79-014F6421B072} - C:\WINDOWS\system32\vtsqn.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


kann ich wieder ausm abgesicherten rausgehen?

Wann hast du das Hijacklog erstellt? Noch im abgesicherten Modus nach dem eScan?

Ich bin gleich offline, wir machen morgen Nachmittag hier weiter.

Sunny

ja hab ich bin immer noch im abgesicherten modus

willst du noch einen hijack-log ausm normalen?
Logfile of HijackThis v1.99.1
Scan saved at 20:28:45, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon .exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\programme\Last.fm\LastFMHelper.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Documents and Settings\***\Desktop\ABC.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {69787C77-F6C1-4FFB-922B-720BED612054} - C:\WINDOWS\system32\vtsqn.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll (file missing)
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Mitlerweile gibt mir antivir dauerhaft virusmelden von der vtsqn.dll und TR/Vundo.DVD, wär schön wenn du mir bald weiter helfen könntest oder irgendein anderer....

Ich glaube, du hast da einen Backdoor am laufen. Überprüfe mal die Datei
C:\WINDOWS\system32\vtsqn.exe bei VirusTotal
Achte darauf, dass du alles siehst. Also auch die versteckten und Systemdateien.
Wenn es das ist was ich vermute, wirst du um ein Neu aufsetzen nicht herumkommen.

Da ich jetzt die ständigen meldungen von antivir ignoriert hab, hatte ich sogar ma ne vtsqn.exe und net nur die .dll ( nehme an das die sonst von antivir gelöscht wurde und das auch wirksam zumindest für kurze zeit... )
hier das ergebnis:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.7.11 2008.01.07 Dropper/Agent.348160.B
AntiVir 7.6.0.46 2008.01.07 TR/Drop.Agent.dgo.21
Authentium 4.93.8 2008.01.06 W32/Virtumonde.OQ
Avast 4.7.1098.0 2008.01.06 Win32:TratBHO
AVG 7.5.0.516 2008.01.07 Dropper.Agent.GIT
BitDefender 7.2 2008.01.07 Trojan.Dropper.Vundo.D
CAT-QuickHeal 9.00 2008.01.05 TrojanDropper.Agent.dgo
ClamAV 0.91.2 2008.01.07 Trojan.Vundo-851
DrWeb 4.44.0.09170 2008.01.07 Trojan.MulDrop.10006
eSafe 7.0.15.0 2008.01.06 -
eTrust-Vet 31.3.5438 2008.01.07 Win32/Trats.A
Ewido 4.0 2008.01.07 Dropper.Agent.dgo
FileAdvisor 1 2008.01.07 -
Fortinet 3.14.0.0 2008.01.07 -
F-Prot 4.4.2.54 2008.01.06 W32/Virtumonde.OQ
F-Secure 6.70.13030.0 2008.01.07 Trojan-Dropper.Win32.Agent.dgo
Ikarus T3.1.1.15 2008.01.07 Trojan-Dropper.Win32.Agent.dgo
Kaspersky 7.0.0.125 2008.01.07 Trojan-Dropper.Win32.Agent.dgo
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.07 Virus:Win32/Trats.C
NOD32v2 2770 2008.01.07 Win32/TrojanDropper.Agent.DGO
Norman 5.80.02 2008.01.04 W32/Vundo.AY
Panda 9.0.0.4 2008.01.07 Trj/Dropper.ZN
Prevx1 V2 2008.01.07 -
Rising 20.26.02.00 2008.01.07 -
Sophos 4.24.0 2008.01.07 W32/VirtInf-B
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.07 W32.Trats!inf
TheHacker 6.2.9.183 2008.01.07 W32/Zhelatin.gen
VBA32 3.12.2.5 2008.01.07 Win32.TrojanDropper.Agent.DGO
VirusBuster 4.3.26:9 2008.01.06 Win32.Trats.Gen
Webwasher-Gateway 6.6.2 2008.01.07 Trojan.Drop.Agent.dgo.21
weitere Informationen
File size: 348160 bytes
MD5: c123ec26bac971fc88d4ddfbc9ebbb62
SHA1: 82938c9e13f41b97fe78c7d2e9a5a1f693256eb2
PEiD: -

und wie siehts jetzt aus? was kann ich tun, leider meldet sich sunny ja nicht mehr obwohl er online ist mmhpf?!?