Hi,
meine Schwester hat sich gestern über MSN einen Trojaner eingefangen, der sich über einen Bildschirmschoner installiert hat.
Bis jetzt habe ich eigtl immer alle Viren/Trojaner wegbekommen aber an diesem beiße ich mir die Zähne aus. Ich hab bereits bei Google gesucht, aber wenn man die Namen eingibt kommen keine Ergebnisse.
AntiVir kann die Dateien auch nicht löschen.
Ich habe es bereit im abgesicherten Modus normal und mit TuneUp-Shredder probiert, aber es kommt immer die Fehlermeldung, dass die Dateien nicht gelöscht werden können.

Die Dateien befinden sich in "C:\WINDOWS\system32\" und nach AntiVir gehören sie zum Trojaner "TR/Vundo.HY".

Da ich auch schon hier im Board rumgesucht hab, weiß ich, dass ein HijackThis Log-File ganz praktisch ist

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:04:45, on 15.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\LG Software\Battery Miser 2005\batterymiser.exe
C:\Program Files\LG Software\IP Operator 2005\IP Operator 2005.exe
C:\Program Files\LG Software\On Screen Display\Hotkey.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\lg_swupdate\Gilautouc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: (no name) - {0E1B0CAA-B425-47B5-970A-F6342D7671BA} - C:\WINDOWS\system32\jkkJdCUk.dll
O2 - BHO: {0dbae1c8-064b-e0bb-79a4-6d354c990b74} - {47b099c4-53d6-4a97-bb0e-b4608c1eabd0} - C:\WINDOWS\system32\lluctask.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {C5B8495C-20BC-493C-8613-E4F6E5790B88} - C:\WINDOWS\system32\efcBqNDt.dll
O4 - HKLM\..\Run: [LG Intelligent Update] "C:\Program Files\lg_swupdate\autoupdate.exe" Gilautouc
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [batterymiser] "C:\Program Files\LG Software\Battery Miser 2005\batterymiser.exe"
O4 - HKLM\..\Run: [IPO3] "C:\Program Files\LG Software\IP Operator 2005\IP Operator 2005.exe" -aUtOsTaRtFrOmReG
O4 - HKLM\..\Run: [KeybdUtility] "C:\Program Files\LG Software\On Screen Display\Hotkey.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [2cad5645] rundll32.exe "C:\WINDOWS\system32\wrrqhbwr.dll",b
O4 - HKLM\..\Run: [BM2f9e65d9] Rundll32.exe "C:\WINDOWS\system32\teymewoa.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: efcBqNDt - C:\WINDOWS\SYSTEM32\efcBqNDt.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5158 bytes

Ich hoffe ihr könnt mir helfen...

Hi und

Bitte benutze einmal folgendes Tool

VundoFix:
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "fixvundo" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
*C:\VundoFix Backups - löschen + Papierkorb leeren

Bitte gehe in den TaskManager und beende folgende Prozesse:

jkkJdCUk.dll
lluctask.dll
efcBqNDt.dll
wrrqhbwr.dll
teymewoa.dll
efcBqNDt.dll

anschliessend startest du HijackThis und fixt folgende Einträge:

O2 - BHO: (no name) - {0E1B0CAA-B425-47B5-970A-F6342D7671BA} - C:\WINDOWS\system32\jkkJdCUk.dll
Unbekannt
O2 - BHO: {0dbae1c8-064b-e0bb-79a4-6d354c990b74} - {47b099c4-53d6-4a97-bb0e-b4608c1eabd0} - C:\WINDOWS\system32\lluctask.dll
O2 - BHO: (no name) - {C5B8495C-20BC-493C-8613-E4F6E5790B88} - C:\WINDOWS\system32\efcBqNDt.dll
O4 - HKLM\..\Run: [2cad5645] rundll32.exe "C:\WINDOWS\system32\wrrqhbwr.dll",b
O4 - HKLM\..\Run: [BM2f9e65d9] Rundll32.exe "C:\WINDOWS\system32\teymewoa.dll",s
O20 - Winlogon Notify: efcBqNDt - C:\WINDOWS\SYSTEM32\efcBqNDt.dll


Zum Schluss bitte neues HijackThis Logfile posten

Erstmal vielen Dank für die schnelle Antwort.

Ich hab gemacht, was du geschrieben hast, aber...
...VundoFix hat nix gefunden.
...bei HijackThis habe ich gefixt, aber nach einem weiteren Scan waren alle Einträge wieder da.

Ab jetzt könnt ihr euch Zeit lassen, da ich jetzt keine Zeit mehr hab weiter am Pc zu sitzen :P

Ich hoffe aber doch auf weitere Ratschläge.

Schönen Abend noch

Dass war ja wohl zu erwarten

Bitte lade dir

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

files to delete:
C:\WINDOWS\system32\jkkJdCUk.dll
C:\WINDOWS\system32\lluctask.dll
C:\WINDOWS\system32\efcBqNDt.dll
C:\WINDOWS\system32\wrrqhbwr.dll
C:\WINDOWS\system32\teymewoa.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Nochmal danke für das Engagement...

Hier den Inhalt der avenger.txt:

Zitat:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Jun 16 19:46:33 2008

19:46:33: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\jkkJdCUk.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\lluctask.dll" not found!
Deletion of file "C:\WINDOWS\system32\lluctask.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\efcBqNDt.dll" deleted successfully.
File "C:\WINDOWS\system32\wrrqhbwr.dll" deleted successfully.
File "C:\WINDOWS\system32\teymewoa.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Und hier das HijackThis Log-File:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:48, on 16.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\LG Software\Battery Miser 2005\batterymiser.exe
C:\Program Files\LG Software\IP Operator 2005\IP Operator 2005.exe
C:\Program Files\LG Software\On Screen Display\Hotkey.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\lg_swupdate\Gilautouc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: {11eb28d0-ab9d-df39-ead4-8e56f4f28b27} - {72b82f4f-65e8-4dae-93fd-d9ba0d82be11} - C:\WINDOWS\system32\wcrbraxt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {9097870E-004D-4955-84E2-C96F2211D604} - C:\WINDOWS\system32\jkkJdCUk.dll (file missing)
O2 - BHO: (no name) - {C5B8495C-20BC-493C-8613-E4F6E5790B88} - C:\WINDOWS\system32\efcBqNDt.dll (file missing)
O4 - HKLM\..\Run: [LG Intelligent Update] "C:\Program Files\lg_swupdate\autoupdate.exe" Gilautouc
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [batterymiser] "C:\Program Files\LG Software\Battery Miser 2005\batterymiser.exe"
O4 - HKLM\..\Run: [IPO3] "C:\Program Files\LG Software\IP Operator 2005\IP Operator 2005.exe" -aUtOsTaRtFrOmReG
O4 - HKLM\..\Run: [KeybdUtility] "C:\Program Files\LG Software\On Screen Display\Hotkey.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [2cad5645] rundll32.exe "C:\WINDOWS\system32\jxifdhet.dll",b
O4 - HKLM\..\Run: [BM2f9e65d9] Rundll32.exe "C:\WINDOWS\system32\cfwbefms.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**ps://fpdownload.macromedia...sh/swflash.cab
O20 - Winlogon Notify: efcBqNDt - efcBqNDt.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5229 bytes

Da aber nach dem Neustart noch immer eine AntiVir-Meldung kam, denke ich, dass das Problem immer noch nich gelöst ist.

mfg Pogo

Lass erstmal Malwarebytes scannen. Lösche das Gefundene und Poste den Report.
Fixe danach mit HijackThis folgende Einträge:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {9097870E-004D-4955-84E2-C96F2211D604} - C:\WINDOWS\system32\jkkJdCUk.dll (file missing)

O2 - BHO: (no name) - {C5B8495C-20BC-493C-8613-E4F6E5790B88} - C:\WINDOWS\system32\efcBqNDt.dll (file missing)

O20 - Winlogon Notify: efcBqNDt - efcBqNDt.dll (file missing)
         

Der Malwarebytes-Report:

Zitat:

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 862

21:52:34 16.06.2008
mbam-log-6-16-2008 (21-52-25).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 123983
Scan Dauer: 26 minute(s), 53 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\jxifdhet.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\2cad5645 (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM2f9e65d9 (Trojan.Agent) -> No action taken.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\jxifdhet.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\tehdfixj.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yqtlvchp.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\phcvltqy.ini (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\martina voelkel\Local Settings\Temporary Internet Files\Content.IE5\T3RNH18A\CADC8NX5 (Trojan.Vundo) -> No action taken.
C:\Program Files\Trend Micro\HijackThis\backups\backup-20080615-184624-520.dll (Trojan.Vundo) -> No action taken.
C:\Program Files\Trend Micro\HijackThis\backups\backup-20080615-184805-837.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{4C3B8627-6966-4E04-A914-C10FEA314C23}\RP315\A0031566.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{4C3B8627-6966-4E04-A914-C10FEA314C23}\RP318\A0032746.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{4C3B8627-6966-4E04-A914-C10FEA314C23}\RP318\A0032748.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cfwbefms.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\qoMdDtRj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nnnmkHbb.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vtUnkhef.dll (Trojan.vundo) -> No action taken.

Und nochmal das HijackThis Log-File:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:01:17, on 16.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\LG Software\Battery Miser 2005\batterymiser.exe
C:\Program Files\LG Software\IP Operator 2005\IP Operator 2005.exe
C:\Program Files\LG Software\On Screen Display\Hotkey.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\lg_swupdate\Gilautouc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: {11eb28d0-ab9d-df39-ead4-8e56f4f28b27} - {72b82f4f-65e8-4dae-93fd-d9ba0d82be11} - C:\WINDOWS\system32\wcrbraxt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [LG Intelligent Update] "C:\Program Files\lg_swupdate\autoupdate.exe" Gilautouc
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [batterymiser] "C:\Program Files\LG Software\Battery Miser 2005\batterymiser.exe"
O4 - HKLM\..\Run: [IPO3] "C:\Program Files\LG Software\IP Operator 2005\IP Operator 2005.exe" -aUtOsTaRtFrOmReG
O4 - HKLM\..\Run: [KeybdUtility] "C:\Program Files\LG Software\On Screen Display\Hotkey.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pu...sh/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4834 bytes

Es kommen auch keine AntiVir-Meldungen mehr beim Starten des PCs

Lasse Malwarebytes nochmal scannen und lasse das gefundene löschen!
Danach neues HJT Logfile.

Bitte versuche folgende Datei zu finden:
C:\WINDOWS\system32\lluctask.dll

Füre nochmals The Aveneger aus und gib folgendes script ein:

Zitat:

files to delete:
C:\WINDOWS\system32\wcrbraxt.dll

Log posten und neues HijackThis log posten
Wende doch auch einmal Ccleaner an...
Hast du nun noch irgendwelche Beschwerden???

Zitat:

Zitat von -SilverDragon-

Lasse Malwarebytes nochmal scannen und lasse das gefundene löschen!
Danach neues HJT Logfile.

Malwarebytes, Malwarebytes, Malwarebytes was soll das bringen, wenn sich einer um ein Thema kümmert und dann kommt ein anderer und meine er müsse auch noch hereinposten (einfach um auch mal noch gepostet zu haben??)??? Ich werde dem User schon helfen können auch ohne dass irgendjemand immer dazwischen postet, danke

@ Trojan-Death:
Ich wollte Malwarebytes noch abwarten, und danach die Datei löschen, damit vielleicht Malwarebytes das schon übernimmt...
Es kann auch verwirrend sein, wenn man gleich 2 (fast) verschiedene Antworten zugleich bekommt, aber naja gut du hattest das Thema angefangen.^^

Zitat:

Zitat von -SilverDragon-

@ Trojan-Death:
Ich wollte Malwarebytes noch abwarten, und danach die Datei löschen, damit vielleicht Malwarebytes das schon übernimmt...

Gute Idee aber im Log ist zu sehen das Malwarebytes diese Datei nicht erkannt hat

Zitat:

Zitat von -SilverDragon-

Es kann auch verwirrend sein, wenn man gleich 2 (fast) verschiedene Antworten zugleich bekommt, aber naja gut du hattest das Thema angefangen.^^

Ja das stimmt aber wie du schon erkannt hast habe ich mich eigentlich dem Problem zugewendet

Vlt. habe ich etwas zickig reagiert ach was ich habe zickig reagiert sorry:aplaus:
Ging mir einfach darum das es mich Grundsätzlich etwas stört wenn man dazwischen postet (Ausser natürlich jemand kommt nicht weiter oder hat nen wichtigen Schritt vergessen)

Okay, mit Malwarebytes das hab ich nicht bemerkt.

Ich hatte mich nur reingehangen, da du dann gestern ne ganze Weile offline warst. Aber jetzt back to topic, mach du weiter.

Zitat:

Zitat von -SilverDragon-

Ich hatte mich nur reingehangen, da du dann gestern ne ganze Weile offline warst. Aber naja gut, mach du weiter.

Ja ist ja auch okay
Ich sag ja ich war ne zicke hahaha Bin ja auch nicht der Chef hier also poste wo du willst :aplaus: