Hallo Ihr, ich hoffe Ihr könnt mir helfen.

Ich hab seid einigen wochen das Problem mit dem VX2.

Ich habe Adadaware laufen lassen mit dem Patch für den Vx2 finder, er findet auch was und zwar die alamoon.dll in der system32, wenn ich die datei löschen möchte, sagt er mir, das ich sie nicht löschen kann, da die Quelldatei möglicherweise geöffnet ist.

Ich habe die Darei in der Registry schon gekillt, kommt aber immer wieder, mittlerweile bin ich ziemlich ratlos..

ich hab die alamoon.dll umgenannt, nun findet er sie nicht mehr nur kann ich sie noch immer nicht löschen

hier kommt mal ein HijackThis Log:

Logfile of HijackThis v1.97.7
Scan saved at 17:39:02, on 10/25/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\System32\pctspk.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\Mixer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Nadine\Desktop\VX2Finder(126).exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\explorer.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {15589FA1-C456-11CE-BF01-00AA0055595A} - http://www.nuker.com/products/swn200...rInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{39D852BA-E79E-4BB5-8764-522842503E88}: NameServer = 217.237.149.161 217.237.151.225

und hier noch mal nen Log von CwShreder

CWShredder v1.59.1 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://filepony.de/download-hijackthis/
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows 2000 (5.00.2195 SP4)
Windows dir: C:\WINNT
Windows system dir: C:\WINNT\system32
AppData folder: C:\Dokumente und Einstellungen\Nadine\Anwendungsdaten
Username: Nadine

Found Hosts file: C:\WINNT\system32\drivers\etc\hosts (1262 bytes, R)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINNT\system32\userinit.exe,
Found Win.ini file: C:\WINNT\win.ini (548 bytes, -)
Found System.ini file: C:\WINNT\system.ini (231 bytes, -)

- END OF REPORT -


Ich hoffe, das kann euch ein wenig weiterhelfen..

Bitte Helft mir ich bin ratlos

Liebe Grüße

skana

Hallo skana24,

Logfile of HijackThis v1.97.7 ist eine alte Version, sei so nett und erstelle ein neues Hijack This Logfile mit der aktuellen Version von Hijack This: http://www.trojaner-board.de/51130-a...ijackthis.html (Logfile of HijackThis v1.98.2).

[edit] Ich sah gerade, dass ADD-ONS mit dem Problem der VX2 umgehen kann. Versuch's mal damit und teile uns mit, ob es von Erfolg gekrönt war. [/edit]

SD

so hier der neue Log

Logfile of HijackThis v1.98.2
Scan saved at 18:33:45, on 10/25/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\System32\pctspk.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\Mixer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINNT\explorer.exe
C:\Programme\Spyware Nuker 2004\swn2.exe
C:\DOKUME~1\Nadine\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Nadine\LOKALE~1\Temp\kavss.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Nadine\LOKALE~1\Temp\Rar$EX00.674\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll



Mit adadaware hab ich schon versucht, er will das ich nen neustart mache und dann ist der noch immer da..
Ich maczhe gerade einen Escan und geb gleich die Ergebnisse durch...

Danke im Voraus

LG
skana

@skana

Ich habe die Darei in der Registry schon gekillt, kommt aber immer wieder, mittlerweile bin ich ziemlich ratlos..

ich hab die alamoon.dll umgenannt, nun findet er sie nicht mehr nur kann ich sie noch immer nicht löschen

hast du vorher die systemwiederherstellung deaktiviert?
auf den ersten blick macht dein log einen sauberen eindrück

chaosman

@ skana24,

kopiere Dein Logfile in die automatische Auswertung. Kennst Du das Programm, das das gelbe Fragezeichen trägt? Wenn Du es nicht kennst, überprüfe es mit Kaspersky online.

Dein Logfile sieht sauber aus.

Du kannst auch www.cexx.org - entsprechend der Gebrauchsanweisung verwenden, um VX2 vom System zu entfernen.

SD

@ chaosman

wenn ich wüsste wie ich die systemwiderherstellung einstelle, kann ich das gerne machen und noch mal versuchen

@ shadowdace

nein leider kenne ich dieses noch nicht.

der e-scan ist jetzt durch und er sagt mir, das er Backdoor.Win32.Rbot.gen gefunden hat, wie ich schon in einigen beiträgen gelesen habe, heisst es nun wohl doch auf zum formatieren, oder gibt es mittlerweile eine funktion, es nicht zu tun? *bet*

LG

skana

@skana
kuckst du hier
http://www.bsi.bund.de/av/texte/wiederher_xp.htm
chaosman

Ich habe win2000, kann ich die Systemwiderherstellung dort auch deaktivieren? hab ich total vergessen, anzugeben

Der HijackThis Log ist okay... laut der Auswertung schon mal etwas...

Hallo skana,

Zitat:

Zitat von skana24

der e-scan ist jetzt durch und er sagt mir, das er Backdoor.Win32.Rbot.gen gefunden hat, wie ich schon in einigen beiträgen gelesen habe, heisst es nun wohl doch auf zum formatieren, oder gibt es mittlerweile eine funktion, es nicht zu tun? *bet*

nein, leider, es gibt keinen sicheren Weg, um "Backdoor.Win32.Rbot.gen" vom System zu entfernen, ausser Du wärest Computerfachfrau (?), würdest Dein System perfekt beherrschen und könntest all die Einträge, die dieser Wurm mit Backdoor-Charakter im System und in der Registry hinterlassen hat, entfernen. Wir haben hier einen Fachmann an Board, der sich seit ein paar Tagen damit abquält, eben diesen "Backdoor.Win32.Rbot.gen" vom System zu bekommen. Er meldet sich ab und an zu Wort und erstattet uns Bericht, wie weit er damit ist ... mal schauen, ob ich den Link finde ... und überhaupt, ich werde Dir jetzt gleich eine ganze Menge Links posten ... wird eh Zeit, dass ich sie mal zusammenstelle .. ich such mich dumm und brauche sie dauernd.

Also bis gleich.
SD

Das ist sehr nett von dir, eigentlich läuft der pc nämlich noch wunderbar...

Ich habe nun mit antivir und nen online scann mit symantec gemacht, der sagt er findet nix, ausser ne gesperrte datei (die mit dem VX2 zusammenhängt) ich kann sie weiterhin noch nicht löschen und ich denke, das das die ist, die meine Platte so verlahmt,

Die datei mit dem Backdoor hab ich mittlerweile gelöscht und aussm Papierkorb verbannt.

Vielleichth ab ich ja Glück nun kommt noch mal ein Neustart.. dann seh ich ja weiter was passiert.. im moment stört nur noch die nicht zu löschende datei, wenn die weg ist, läuft mein system glaub ich wieder.

Ich hab auch Probleme mit dem Yahoo messenger, alle 15 Min fliege ich wieder raus, warum kein Plan, aber das Problem behebt sich bestimmt, sobald die Datei weg ist

Lg

Skana

also mit der Registry hab ich mich schon ziemlich oft ausseinandersetzen müssen, nur müsste man wissen, welche dateien betroffen sind und wie die schlüssel heissen

Wir packen das, denn das scheiss formatieren geht einem auf die (nicht vorhanden) Nüsse

LG
skana

"Backdoor.Win32.Rbot.gen"

Hilfestellung und Beratung

Die Sophos Viren-Enzyklopädie: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten.

Lutz: Datensicherung

Cidre: ein umfassender Rat

MountainKing: Sicherheit gross geschrieben

Festplatte Formatieren - Schritt für Schritt

Neuinstallation von windowsXP

Madjack bei der Arbeit ...



vorbeugende Maßnahmen
www.trojaner-info.de

PC-Sicherheit

danke schon mal

diese komische dll. datei ist nun endlich entfernt, nach tausenden und dutzenden versuchen *freu*

Nu bin ich auf der suche nach dem Worm, ich glaub der ist auch nicht mehr drauf ich lasse jetzt nach nem richtig upgedateten Antivir noch mal scannen vielleicht hab ich ja mal Glück

LG
skana

@skana24

aber bitte in abgesicherten modus, gell.


chaosman

ich hab den scan im abgesicherten modus gemacht und der worm ist nicht mehr auffindbar

das heisst weiterchatten und keine Viren mehr

Bye und Danke für Alles

LG
skana