hallo computergenies!

Ich hab anscheinend einen trojaner (AMVO0.DLL) in meinem Laptop.
Hab leider keine ahnung von computern.

Hijack-log siehe unten.

Hab gesehen, dass BataAlexander sich super mit dem trojaner amvo auskennt (siehe jänner 2008 "Bitte um HILFE.. Anfängerin halt.." und februar 2008 "hidden files trojaner?")

Hatte meinen computer immer so eingestellt, dass ich alle ordner und datein (auch hidden files) sehen kann. Jetzt kann i sie nicht mehr sehen, obwohl es so eingestellt ist.

Hab windows XP. Hatte bevor der trojaner kam, kein service pack. Inzwischen hab ich service pack 1, SP2 konnte ich nicht installieren wegen "invalid key".

ich möchte das neu-installieren von windows lieber umgehen, weil mein CD-laufwerk kaputt ist.

Was bisher geschah:
Das ganze hat angefangen als ich eine neue externe festplatte aus dem geschaeft angeschlossen habe. Da kam eine meldung fuer „3wcxx91.cmd"
Der anti-virus (avira antivir) konnte AMVO0.DLL nicht loeschen.

Hab versucht es haendisch zu loeschen, ging zuerst auch nicht. Hab das file umbenannt, kurz darauf ist der computer wieder einmal abgestuerzt. Danach hab ich das umbenannte file loeschen koennen.

Hab eine liste mit files, die zum trojaner gehoeren; sie waren noch immer da.
Mein mitbewohner hat mir dann „fileassasin" gegeben um diese zu loeschen. Der cumputer ist dann aber wieder abgestuerzt; und ich hab mich nicht getraut es noch einmal zu probieren.

Hab dann kaspersky (free trial version) installiert und den computer gescant. Er hat was gefunden (autorun.inf), aber er konnte es nicht loeschen. die files, die zum trojaner gehoeren waren noch immer da.

Ein postdoc von der uni hat sich dann meinen laptop angeschaut mit "aports.exe", "procexp.exe" und "rootkitrevealer". Ihm ist nichts besonderes aufgefallen.

Dann hab ich spybot installiert, kaspersky trial version deinstalliert (weil es auf C war und ich fast keinen platz mehr dort habe), jetzt hab ich wieder avira antivir und kerio firewall hab ich eh schon seit immer.
Spybot hat nur cookies und registry keys gefunden.

Hab versucht über "eingabeaufforderung" (MS DOS) die files (die zum trojaner gehoeren) zu loeschen, ging aber auch nicht.

Hab dann gesehen das in Systemkonfiguration -Systemstart "C:\WINDOWS\System32\amvo.exe" aufscheint. Hab das hackerl weggeklickt.

Was soll ich nun tun??????????

DANKE im voraus
lg
astrid
--------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:26:43, on 04.06.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
D:\programme\quick time 6.5\install\qttask.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\quick time 6.5\install\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\Office\INSTAL~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\officeXP\Office10\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office\INSTAL~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212095183080
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1212095136613
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

--
End of file - 4779 bytes

Hi,

Zitat:

Was soll ich nun tun??????????

Es führt kein Weg daran vorbei: Kauf dir ein Windows und installiere damit dein System neu. Dann klappts auch mit den Servicepacks weil Du dann einen legalen Key hast. CDROM/DVDROM-Laufwerke kosten nur geringfügig mehr als nichts. Wenn dir Windows zu teuer ist, dann nimm dieses System: leistungsfähig, sicher (mit regelmäßigen Updates, die es aber gibt, da wird kein Key geprüft), freies kopieren erlaubt (sogar erwünscht).

Auch wenn Du anderes behauptest hat dein System noch nicht einmal das SP1 angenommen, SP2 ist absolute Pflicht, SP3 zu empfehlen. Ohne ist dein System löchrig wie ein Schweizer Käse und lässt sich problemlos für kriminelle Zwecke ausnutzen.

Gruß, Karl

Hallo Astrid,
hast du dieses Problem noch? Ich habe eine schnelle und einfache Lösung gefunden. Gestern selbst getestet. Den Link zum Programm habe ich auf meinem anderen PC, aber das Programm selbst habe ich auch auf diesem hier. Ist nicht größer als 2KB. Interesse?
Bis dann

Zitat:

Zitat von Peruvo

Hallo Astrid,
hast du dieses Problem noch? Ich habe eine schnelle und einfache Lösung gefunden. Gestern selbst getestet. Den Link zum Programm habe ich auf meinem anderen PC, aber das Programm selbst habe ich auch auf diesem hier. Ist nicht größer als 2KB. Interesse?
Bis dann

1. Guck mal aufs Datum
2. Das ist ein Backdoor, und für solche Viren gibts keine Removaltools
3. Viel Spaß, dir und deinem Remote-Admin
4. Grüß die Polizei von mir

Beitrag gemeldet.

Zitat:

Zitat von -SkY-

1. Guck mal aufs Datum
2. Das ist ein Backdoor, und für solche Viren gibts keine Removaltools
3. Viel Spaß, dir und deinem Remote-Admin
4. Grüß die Polizei von mir

Beitrag gemeldet.

Verstehe dein Problem nicht! Ich habe amvo0.dll und dessen Folgen von meinem Pc entfernt. Alle Ordner wieder sichtbar und keinen Virenalarm mehr. Was willst du eigentlich?