Hallo Ihr, ich hoffe Ihr könnt mir helfen.

Ich hab seid einigen wochen das Problem mit dem VX2.

Ich habe Adadaware laufen lassen mit dem Patch für den Vx2 finder, er findet auch was und zwar die alamoon.dll in der system32, wenn ich die datei löschen möchte, sagt er mir, das ich sie nicht löschen kann, da die Quelldatei möglicherweise geöffnet ist.

Ich habe die Darei in der Registry schon gekillt, kommt aber immer wieder, mittlerweile bin ich ziemlich ratlos..

ich hab die alamoon.dll umgenannt, nun findet er sie nicht mehr nur kann ich sie noch immer nicht löschen

hier kommt mal ein HijackThis Log:

Logfile of HijackThis v1.97.7
Scan saved at 17:39:02, on 10/25/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\System32\pctspk.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\Mixer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Nadine\Desktop\VX2Finder(126).exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\explorer.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {15589FA1-C456-11CE-BF01-00AA0055595A} - http://www.nuker.com/products/swn200...rInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{39D852BA-E79E-4BB5-8764-522842503E88}: NameServer = 217.237.149.161 217.237.151.225

und hier noch mal nen Log von CwShreder

CWShredder v1.59.1 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://filepony.de/download-hijackthis/
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows 2000 (5.00.2195 SP4)
Windows dir: C:\WINNT
Windows system dir: C:\WINNT\system32
AppData folder: C:\Dokumente und Einstellungen\Nadine\Anwendungsdaten
Username: Nadine

Found Hosts file: C:\WINNT\system32\drivers\etc\hosts (1262 bytes, R)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINNT\system32\userinit.exe,
Found Win.ini file: C:\WINNT\win.ini (548 bytes, -)
Found System.ini file: C:\WINNT\system.ini (231 bytes, -)

- END OF REPORT -


Ich hoffe, das kann euch ein wenig weiterhelfen..

Bitte Helft mir ich bin ratlos

Liebe Grüße

skana

Hallo skana24,

Logfile of HijackThis v1.97.7 ist eine alte Version, sei so nett und erstelle ein neues Hijack This Logfile mit der aktuellen Version von Hijack This: http://www.trojaner-board.de/51130-a...ijackthis.html (Logfile of HijackThis v1.98.2).

[edit] Ich sah gerade, dass ADD-ONS mit dem Problem der VX2 umgehen kann. Versuch's mal damit und teile uns mit, ob es von Erfolg gekrönt war. [/edit]

SD

so hier der neue Log

Logfile of HijackThis v1.98.2
Scan saved at 18:33:45, on 10/25/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\System32\pctspk.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\Mixer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINNT\explorer.exe
C:\Programme\Spyware Nuker 2004\swn2.exe
C:\DOKUME~1\Nadine\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Nadine\LOKALE~1\Temp\kavss.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Nadine\LOKALE~1\Temp\Rar$EX00.674\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll



Mit adadaware hab ich schon versucht, er will das ich nen neustart mache und dann ist der noch immer da..
Ich maczhe gerade einen Escan und geb gleich die Ergebnisse durch...

Danke im Voraus

LG
skana

@skana

Ich habe die Darei in der Registry schon gekillt, kommt aber immer wieder, mittlerweile bin ich ziemlich ratlos..

ich hab die alamoon.dll umgenannt, nun findet er sie nicht mehr nur kann ich sie noch immer nicht löschen

hast du vorher die systemwiederherstellung deaktiviert?
auf den ersten blick macht dein log einen sauberen eindrück

chaosman

@ skana24,

kopiere Dein Logfile in die automatische Auswertung. Kennst Du das Programm, das das gelbe Fragezeichen trägt? Wenn Du es nicht kennst, überprüfe es mit Kaspersky online.

Dein Logfile sieht sauber aus.

Du kannst auch www.cexx.org - entsprechend der Gebrauchsanweisung verwenden, um VX2 vom System zu entfernen.

SD

@ chaosman

wenn ich wüsste wie ich die systemwiderherstellung einstelle, kann ich das gerne machen und noch mal versuchen

@ shadowdace

nein leider kenne ich dieses noch nicht.

der e-scan ist jetzt durch und er sagt mir, das er Backdoor.Win32.Rbot.gen gefunden hat, wie ich schon in einigen beiträgen gelesen habe, heisst es nun wohl doch auf zum formatieren, oder gibt es mittlerweile eine funktion, es nicht zu tun? *bet*

LG

skana

@skana
kuckst du hier
http://www.bsi.bund.de/av/texte/wiederher_xp.htm
chaosman

Hallo skana,

Zitat:

Zitat von skana24

der e-scan ist jetzt durch und er sagt mir, das er Backdoor.Win32.Rbot.gen gefunden hat, wie ich schon in einigen beiträgen gelesen habe, heisst es nun wohl doch auf zum formatieren, oder gibt es mittlerweile eine funktion, es nicht zu tun? *bet*

nein, leider, es gibt keinen sicheren Weg, um "Backdoor.Win32.Rbot.gen" vom System zu entfernen, ausser Du wärest Computerfachfrau (?), würdest Dein System perfekt beherrschen und könntest all die Einträge, die dieser Wurm mit Backdoor-Charakter im System und in der Registry hinterlassen hat, entfernen. Wir haben hier einen Fachmann an Board, der sich seit ein paar Tagen damit abquält, eben diesen "Backdoor.Win32.Rbot.gen" vom System zu bekommen. Er meldet sich ab und an zu Wort und erstattet uns Bericht, wie weit er damit ist ... mal schauen, ob ich den Link finde ... und überhaupt, ich werde Dir jetzt gleich eine ganze Menge Links posten ... wird eh Zeit, dass ich sie mal zusammenstelle .. ich such mich dumm und brauche sie dauernd.

Also bis gleich.
SD