Hallo,
ich hab bei den letzten scans die beiden oben genannten viren gefunden und hab auch einiges hier ausm board versucht z.b. vundofix, da die viren unter anderem in den dateien awttqon.dll und vtsqn.dll auftauchten. vundofix konnte alle sachen löschen bis auf awttqon.dll. hab danach noch ma antivir durchlaufen lassen der hat aber nichts mehr gefunden und in den backup ordner von vundofix steht die awttqon.dll auch drin... Nun frage ich mich ob der virus entgültig weg ist oder sich doch noch iwo versteckt, da im security task manager immer noch die prozesse angezeigt und als 92% gefährlich ausgewiesen werden... Außerdem kam grad noch eine Meldung von Antivir, dasser schon wieder TR/Drop.Agent.dgo.21 (21 ist neu) in der datei vtsqn.dll gefunden hat...
was kann ich tun?

Mein Hijackthis-log:
Logfile of HijackThis v1.99.1
Scan saved at 16:52:42, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon .exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\programme\Last.fm\LastFMHelper.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\programme\Security Task Manager\TaskMan.exe
C:\Documents and Settings\***\Desktop\ABC.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll
O2 - BHO: (no name) - {F0F74555-5C19-4591-9716-CC967C88ED3D} - C:\WINDOWS\system32\vtsqn.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Hallo L3g3nD.


Arbeite zunächst das hier ab:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\vtsqn.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren



Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)



Gruß
Sunny

das is das ergebnis von virustotal aber kp wo der HASH Steht und die datei vtsqn.exe habe ich nur nur die vtsqn.dll die habe ich hochgeladen anstatt der exe...:

Datei vtsqn.dll empfangen 2008.01.06 17:20:48 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.5.11 2008.01.05 Win-AppCare/Virtumonde.344576
AntiVir 7.6.0.46 2008.01.06 -
Authentium 4.93.8 2008.01.05 -
Avast 4.7.1098.0 2008.01.06 Win32:TratBHO
AVG 7.5.0.516 2008.01.06 Generic9.AKAR
BitDefender 7.2 2008.01.06 Trojan.Vundo.DUH
CAT-QuickHeal 9.00 2008.01.05 AdWare.Virtumonde.dih (Not a Virus)
ClamAV 0.91.2 2008.01.06 Trojan.Vundo-851
DrWeb 4.44.0.09170 2008.01.06 -
eSafe 7.0.15.0 2008.01.06 -
eTrust-Vet 31.3.5432 2008.01.04 Win32/Vundo.JD
Ewido 4.0 2008.01.06 -
FileAdvisor 1 2008.01.06 -
Fortinet 3.14.0.0 2008.01.06 -
F-Prot 4.4.2.54 2008.01.05 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13030.0 2008.01.05 -
Ikarus T3.1.1.15 2008.01.06 Trojan.Vundo.DUH
Kaspersky 7.0.0.125 2008.01.06 not-a-virus:AdWare.Win32.Virtumonde.dih
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.06 Trojan:Win32/Vundo.gen!A
NOD32v2 2767 2008.01.06 Win32/Adware.Virtumonde.FP
Norman 5.80.02 2008.01.04 Vundo.AL
Panda 9.0.0.4 2008.01.06 Spyware/Virtumonde
Prevx1 V2 2008.01.06 Trojan.Vundo
Rising 20.25.62.00 2008.01.06 Trojan.Win32.Undef.awg
Sophos 4.24.0 2008.01.06 W32/VirtInf-B
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.06 Trojan.Vundo
TheHacker 6.2.9.181 2008.01.05 -
VBA32 3.12.2.5 2008.01.06 AdWare.Win32.Virtumonde.dih
VirusBuster 4.3.26:9 2008.01.06 Adware.Vundo.V.Gen
Webwasher-Gateway 6.0.1 2008.01.06 -
weitere Informationen
File size: 344576 bytes
MD5: 0466723e693c1f8ec118e13ff1bc3498
SHA1: cdb5d62830edef3728a06f3d9606dc082467f212
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=39460568004E1328421805B09B7DCF007FED16C7

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.5.11 2008.01.05 Win-AppCare/Virtumonde.344576
AntiVir 7.6.0.46 2008.01.06 -
Authentium 4.93.8 2008.01.05 -
Avast 4.7.1098.0 2008.01.06 Win32:TratBHO
AVG 7.5.0.516 2008.01.06 Generic9.AKAR
BitDefender 7.2 2008.01.06 Trojan.Vundo.DUH
CAT-QuickHeal 9.00 2008.01.05 AdWare.Virtumonde.dih (Not a Virus)
ClamAV 0.91.2 2008.01.06 Trojan.Vundo-851
DrWeb 4.44.0.09170 2008.01.06 -
eSafe 7.0.15.0 2008.01.06 -
eTrust-Vet 31.3.5432 2008.01.04 Win32/Vundo.JD
Ewido 4.0 2008.01.06 -
FileAdvisor 1 2008.01.06 -
Fortinet 3.14.0.0 2008.01.06 -
F-Prot 4.4.2.54 2008.01.05 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13030.0 2008.01.05 -
Ikarus T3.1.1.15 2008.01.06 Trojan.Vundo.DUH
Kaspersky 7.0.0.125 2008.01.06 not-a-virus:AdWare.Win32.Virtumonde.dih
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.06 Trojan:Win32/Vundo.gen!A
NOD32v2 2767 2008.01.06 Win32/Adware.Virtumonde.FP
Norman 5.80.02 2008.01.04 Vundo.AL
Panda 9.0.0.4 2008.01.06 Spyware/Virtumonde
Prevx1 V2 2008.01.06 Trojan.Vundo
Rising 20.25.62.00 2008.01.06 Trojan.Win32.Undef.awg
Sophos 4.24.0 2008.01.06 W32/VirtInf-B
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.06 Trojan.Vundo
TheHacker 6.2.9.181 2008.01.05 -
VBA32 3.12.2.5 2008.01.06 AdWare.Win32.Virtumonde.dih
VirusBuster 4.3.26:9 2008.01.06 Adware.Vundo.V.Gen
Webwasher-Gateway 6.0.1 2008.01.06 -

weitere Informationen
File size: 344576 bytes
MD5: 0466723e693c1f8ec118e13ff1bc3498
SHA1: cdb5d62830edef3728a06f3d9606dc082467f212
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=39460568004E1328421805B09B7DCF007FED16C7


hyjackthis und vundofix hatte ich ja wie bereits geschrieben schon vorher durchgeführt gehabt, soll ich das noch ma machen?

Nein, poste nun noch mal ein Hijacklog, ich muss sehen was vundofix alles gelöscht hat, dann geht es weiter.

awttqon.dll.bat,fccyaxw.dll.bat,nqstv.ini2.bad,nqstv.ini.bad,vtsqn.dll.bad stand im vundofix backups ordner ich hab jetzt grad noch ma durchlaufen lassen und er fand wieder die gleichen dateien... so und dann noch mehrer komische sachen als ich auf remove vundo geklickt hab kam error pfad irgendne zahl net gefunden und dann konnte er die dateien net löschen wollte neustarten und dann erneut versuchen hab ich auch gemacht und dann kam wieder das vundofix fenster aber keine dateien zum löschen mehr drin gewesen... so dann hat sich vundofix geschlossen und antivir hat sich gemeldet dasses nen trojaner inner vtsqn.exe gefunden hab, ich bin auf delete gegangen aber dann stand da das diese datei nicht gefunden werden konnte?!? iwas läuft da ziemlich falsch... als letztes kam noch ne windowsmeldung das die anwendung der vtsqn.exe nicht gefunden wurde etc.
hier noch ma nen HijackThis log:
Logfile of HijackThis v1.99.1
Scan saved at 17:52:42, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\programme\Last.fm\LastFMHelper.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\***\Desktop\ABC.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll
O2 - BHO: (no name) - {C0F1A38B-820F-4B8A-8446-F71DF88750DA} - C:\WINDOWS\system32\vtsqn.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

komische sachen... hoffe du kannst mir weiterhelfen danke schon ma im voraus

immer ruhig bleiben:

Zunächst bitte folgendes:


Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\vtsqn.exe
C:\WINDOWS\system32\awttqon.dll
C:\WINDOWS\system32\vtsqn.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Poste ausserdem den Inhalt der C:\avenger.txt Datei.



MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

Zitat:

als letztes kam noch ne windowsmeldung das die anwendung der vtsqn.exe nicht gefunden wurde etc.

Da kümmern wir uns gleich drum..

Außerdem noch mal ein neues Hijacklog, ich muss sehen was alles entfernt wurde!

Hallo Leute!
Habe mir noch Silvester einige

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Um den reinen "dgo" incl. den Vundos, die er droppt zu loeschen, reicht combofix zusammen mit einem AV, der den dgo erkennen kann, das waren bis gestern alle mir bekannten.
Falls du mehr infizierte Dinge gefunden hast, dann gehe ich stark davon aus, das du dir das, incl. dem dgo, ueber einen Crack/Keygen eingefangen hast, der auf "einschlaegigen" Seiten anngeboten werden. Sprich das ist ein RAR(zip?)sfx, das eine Batch und 2-3 exe Dateien enthaelt. die keygen.exe darin installiert dir den Vundo/dgo, bei der anderen DAtei variirt das sehr stark. Je nachdem, was gerade auf den Downloadservern zu finden ist. Ist dieser Downloaderr nicht schon vor dem Start von einem AV Programm geblockt worden, kann man den PC am besten neu aufsetzen.

Kontrolliere deine Festplatte mal nach DAteien um den 31.12 und du wirst noch mehr Dateien finden, die auf deinem Rechner gelangt sind.

@Legend

Gibt es irgendwelche Probleme, wenn ja dann melde dich!
Ansonsten lass Counterspy suchen und die Registrierungsschlüssel aus dem System suchen, so wie beschrieben.


/OT

Hallo raman, schön dich mal wieder hier zu lesen.

Also ich hatte nen paar kleine probleme bzw hab selber paar Fehler gemacht:
1. im abgesicherten modus hat counterspy nen ganz andres menu als im normalen deswegne hab ichs iwi vercheckt log zu speichern =( er hatte eine normale datei, nen backdoor glaub bti gefunden und noch 3 registry einträger in hkey_user, allerdings im normal modus zeigte er nur 2 funde an?!?!
bei den weiteren scannen im normal modus hat er nichts mehr gefunden
2. systempunkt hab ich iwi vercheckt nachm ersten scannen und weiß auch ehrlichgesagt nicht wie ich das ohne zusätzliches programm mache....
3. bei den weiteren scans hat er zwar nichts gefunden allerdings hat antivir mir relativ am anfang wieder einigen viren meldungen gegeben, könnte mir aber vorstellen das das daran liegt das eine antivir datei ja selber beschädigt/infiziert war/ist

so dann regsearch logs:
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 10.01.2008 13:51:09 for strings:
; 'vtsqn.exe'
; 'zts2.exe'
; 'iifgfgf.dll'
; 'runll16.exe'
; 'rundl132.dll'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load]
"command"="C:\\WINDOWS\\system32\\vtsqn.exe"

; End Of The Log...

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 10.01.2008 13:55:08 for strings:
; 'logo1_.exe'
; 'vcmgcd32.dll'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

Ich bin in einer Stunde zu Hause, dann geht es weiter.
Hier auf Arbeit habe ich keine Programme oder deren Anleitungen gespeichert.

Bis gleich ...

----------------RVAXO.exe first run-------------
Files found:
C:\WINDOWS\system32\systems.txt

Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------


die gefundenen sachen löschen oder net? er hat grad noch was gefunden in der backup.zip von avenger

Ein letztes mal das Combofix einsetzen:


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!



Führe nun einen Scan hiermit aus -> Kaspersky - VirusRemoval Tool

Bitte genau die Anleitung beachten!

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 10.01.2008 18:11:25 for strings:
; 'vtsqn'
; 'zts2'
; 'iifgfgf'
; 'rundll16'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Neuber GbR\Security Task Manager\Cache]
"C:\\WINDOWS\\system32\\vtsqn.dll"="2080"

; End Of The Log...

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 10.01.2008 18:13:50 for strings:
; 'rundl132'
; 'logo1_'
; 'vcmgcd32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


was ist eig mit ot_move it das auch betroffen war? anscheinend hat er ja in der reg vom security task manager was gefunden muss ich den auch deinstallieren?

hab grad in dem ordner nach geguckt das is auch noch ne awttqon.dll drin... falls du dich erinnerst war das eine der ersten infizierten dateien...

Diesen Schlüssel kannst du auch löschen ->

[HKEY_CURRENT_USER\Software\Neuber GbR\Security Task Manager\Cache]
"C:\\WINDOWS\\system32\\vtsqn.dll"="2080"

Mach nun mit Rouge weiter, erst mal nichts mehr deinstallieren oder, ich hoffe das wir das so langsam mal in den Griff bekommen!