Forum
Tipps
News
Menu-Icon

dotdr.exe

dotdr.exe und ww32 ladet sic immer in C / Programme / Besitzer und kommt auch nachdem löschen wieder neu. Pc ist langsam und Internet instabil. Scan mit Ad Aware, Spybot und AVG haben den Trojaner/Virus nicht beseitigen können.
Wäre schön wenn mir jemand weiterhelfen könnte.
Gruss Andy



Antworten zu dotdr.exe:

             Im abgesicherten Modus !

unter SYSTEM die Systemwiederherstellumg AUS ,
dann            http://www.hijackthis.de/
Anleitung :  http://www.windowspower.de/artikel_HijackThis+Anleitung_653.html
 
Danach ggf: 
       Virenscan , auch  im abgesicherten Modus !
Systemwiederherst. wenn OK = wieder AN

abgesicherter Modus:
Beim Start des PC  mehrfach , spätestens beim 1. PIEP die F8 drücken ....
ODER :
Gehe auf Start , dann Ausführen .
Dort     msconfig     eintippen und auf OK .
Im aufgehenden Fenster Diagnosesystemstart einstellen + OK .
PC
runterfahren lassen , startet dann im Abges. Modus .
Später wiederholen , "normaler Systemstart" wieder herstellen.

Kann die von hijack angegebenen dateien R0 und O2 nicht fixen

Hier mal mein Log

Logfile of HijackThis v1.99.1
Scan saved at 20:37:25, on 11.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\update\updmangr.exe
C:\WINDOWS\system32\wsscserv.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
D:\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ssqnm.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [mswap] rundll32.exe C:\WINDOWS\System32\mswap.dll,start
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O20 - Winlogon Notify: ssqnm - C:\WINDOWS\SYSTEM32\ssqnm.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe

Hallo,
anbei ein Vorschlag zur Lösung des Problems.

Lösche bitte deinen Browser Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
setze bei den Einstellungen unter dem Reiter von Windows und Anwendungen alle möglichen Häckchen und führe CCleaner aus.

Lade dir die kostenlose Software von Ewido herunter.
ewido anti-malware, ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen !
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Zur Kontrolle sollte noch eine Überprüfung mit den beiden kostenlosen Online-Scanner vorgenommen werden.
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#

Bei Rückfragen bitte immer die Scan-Protokolle hier posten.
Zum Schluss erstelle ein neues HijackThis-Log und poste den Logfile hier.

Hallo und erst mal Danke für Eure Hilfe
Habe mit CCleaner die Caches gelöscht und anschliessend im abgesicherten Modus mit ewido gescannt. zuvor schon mit sysclean. beide haben Dateien gefunden und anscheinend gelöscht. Log von ewido untenstehend.

Kaum wieder am Internet findet mein Virenscanner AVG zum x ten mal den Trojaner "Trojan Horse.Generic.XUQ"  und damit sind im Ordner            C/Dokumente und Einstellungen/Besitzer wieder die Dateien dotdr.exe und WW32.(Bücherschachtel icon.
zum verzweifeln ???
---------------------------------------------------------
 ewido anti-malware - Scan Report
---------------------------------------------------------

 + Erstellt am:      22:20:49, 12.06.2006
 + Report-Checksumme:   51D16BAE

 + Scanergebnis:

   C:\Dokumente und Einstellungen\Besitzer\ww32.exe/dotdr.exe -> Downloader.Adload.ap : Gesäubert mit Backup
   C:\warebundle.exe -> Adware.Look2Me : Gesäubert mit Backup
   C:\WINDOWS\QW5kcmVhcyAgTWVyeg\asappsrv.dll -> Adware.CommAd : Gesäubert mit Backup
   C:\WINDOWS\QW5kcmVhcyAgTWVyeg\command.exe -> Adware.CommAd : Gesäubert mit Backup
   C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2B3NLBSW\Installer[1].exe -> Adware.Look2Me : Gesäubert mit Backup
   C:\WINDOWS\system32\kddtat.dll -> Adware.Look2Me : Gesäubert mit Backup
   C:\WINDOWS\update\updmangr.exe -> Backdoor.Agent.abc : Gesäubert mit Backup


::Report Ende

Win XP SP" Pentium4

Bitte noch das System mit den Online Scanner von Panda und Bitdefender scannen und die Logs hier Posten !

... und sollte diese Datei noch auf dem PC vorhanden sein

C:\WINDOWS\SYSTEM32\ssqnm.dll

dann lösche sie bitte mit der Freeware Unlooker
 http://ccollomb.free.fr/unlocker/index.htm#download
(nur für Windows 2000 und XP)
im abgesicherten Modus.

Hi mal wieder
 ???
Immer noch grosse Probleme.
Habe versucht mit Unlocker im abgesicherten Modus oben erwähnte Datei zu löschen. Schreibt sich aber immer wieder neu ins System.
Wenn ich das Internet anhänge wird sofort Trojaner Downloader.Generic.XUQ und die bekannten dotdr.exe und ww32 geladen.
Zudem geht kurz ein Dos Fenster "C Windows system32 cmd exe auf mit Text "zugriff verweigert auf.



BitDefender Online Scanner
 
 
 
Bericht erstellt am: Mon, Jun 12, 2006 - 23:25:54
 
Zu prüfender Pfad: C:\;D:\;E:\;F:\;
 
Statistik
 
Zeit
 00:29:53
 
Dateien
 131640
 
Ordner
 1880
 
Boot-Sektoren
 3
 
Archive
 6967
 
Komprimierte Dateien
 8744
 
Ergebnisse
 
Erkannte Viren
 2
 
Infizierte Dateien
 2
 
verdächtige Dateien
 1
 
Warnungen
 0
 
Desinfiziert
 0
 
Gelöscht
 2
 
 
Engine-Info
 
Virensignaturen
 387755
 
Engine info
 AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)
 
Prüf-Plugins
 13
 
Archiv-Plugins
 39
 
Extraktions-Plugins
 5
 
E-Mail-Plugins
 6
 
System-Plugins
 1
 
 
 
 
Prüfeinstellungen
 
Primäre Aktion
 Desinfizieren
 
Sekundäre Aktion
 Löschen
 
Heuristik
 Ja
 
Warnungen aktivieren
 Ja
 
Zu prüfende Erweiterungen
 *;
 
Auszuschließende Erweiterungen
 
 
E-Mails prüfen
 Ja
 
Archive prüfen
 Ja
 
Komprimierte Dateien prüfen
 Ja
 
Dateien prüfen
 Ja
 
Boot-Sektoren prüfen
 Ja
 
 
 
 
  Geprüfte Dateien
  Status
 
C:\AVG7QT.DAT
 Infiziert: Trojan.Qhosts.B
 
C:\AVG7QT.DAT
 Desinfektion fehlgeschlagen
 
C:\AVG7QT.DAT
 Gelöscht
 
C:\WINDOWS\system32\drivers\etc\hosts.20060611-100132.backup
 Infiziert: Generic.Qhost
 
C:\WINDOWS\system32\drivers\etc\hosts.20060611-100132.backup
 Desinfektion fehlgeschlagen
 
C:\WINDOWS\system32\drivers\etc\hosts.20060611-100132.backup
 Gelöscht
 
C:\WINDOWS\update\updmangr.exe
 Verdächtig: Dropped:Generic.Malware.SY.C7A0BA08
 
C:\WINDOWS\update\updmangr.exe
 Desinfektion fehlgeschlagen
 
C:\WINDOWS\update\updmangr.exe
 Löschung fehlgeschlagen
 

Für weiter Hilfe wirklich dankbar
Grüsse Euch  Andy
 
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Da hat sich neben der erkannten und bereits beseitigten Malware auch noch was bei dir auf dem Rechner eingenistet das noch recht unbekannt bzw. Neu ist und einige Fragen offen läst.
Also einzige das bis jetzt klar ist, das auch diese Dateien vom PC für immer entfernt werden müssen:

C:\WINDOWS\update\updmangr.exe
C:\WINDOWS\SYSTEM32\ssqnm.dll
C:\Dokumente und Einstellungen\Besitzer\ww32.exe/dotdr.exe

Lade dir bitte zu erst einmal die Testversion von Panda herunter.
http://www.computerbase.de/downloads/software/antivirensoftware/panda_titanium_antivirus/
Und führe als nächstes bei Ewido ein Update aus.

Dann gehe wie folgt vor:
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. Deinstalliere deine Antivirussoftware AVG !
4. PC im abgesicherten Modus starten
5. Mit Unlocker noch mal die oben genannten Dateien über “Kill Process“ löschen
6. Mit Ewido einen maximalen Scan ausführen !
7. PC wieder normal booten
8. Die Testversion von Panda installieren und ein Update ausführen
9. Mit Panda einen maximalen Scan ausführen !

Die Methode ist zwar etwas ungewöhnlich, aber die Ereignisse fordern ungewöhnliche Lösungen.
Behalte die Testversion von Panda mal für ein paar Tage auf dem Rechner um das ganze zu kontrollieren.
Und nicht vergessen, bei Rückfragen bitte die ausführlichen Scanergebnisse hier posten.
   

ich habe auch das selbe problem, dotdr.exe. und ein paar weitere (eraseme usw.) währe cool wenn einer ne unkomplizierte lösung weiss die auch funktioniert. ich tippe dann mal auf formatieren und xp neu drauf machen.

aargh

Hi "Help"

Ist ja wirklich die Pest
Ich habe alle Deine voprgeschlagenen schritte befolgt. Update Ewido und Scann. Hier das Logfile nach 1. Scan


---------------------------------------------------------
 ewido anti-malware - Scan Report
---------------------------------------------------------

 + Erstellt am:      23:12:20, 13.06.2006
 + Report-Checksumme:   5ACE5A02

 + Scanergebnis:

   C:\Dokumente und Einstellungen\Besitzer\Cookies\[email protected][1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Cookies\[email protected][2].txt -> TrackingCookie.Myaffiliateprogram : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0000f73b -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00010f7b -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0001115c -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp000111f2 -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0001133d -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00011550 -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00011a1f -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00011b1a -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp000121a2 -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00012256 -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0001282b -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00012b2e -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0001349b -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00013c14 -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00014b4b -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00014cfa -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00014f17 -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0001eb4a -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00022b9a -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp000282ea -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0002d48e -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00045997 -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00059226 -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00079544 -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0007cf0b -> Adware.Virtumonde : Gesäubert mit Backup
   C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp000b0a22 -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\awvtr.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\byvtu.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\byvvt.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\byxur.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\byxyx.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\cbayv.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\cbxvw.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\cbxww.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\ddcaa.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\efcca.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\efcya.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\fccbc.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\fcyya.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\gebaa.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\gebby.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\geecd.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\hgddd.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\hggdc.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\hgged.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\iiffd.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\iiiii.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\jkhff.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\jkhgh.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\jkkih.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\jkkkh.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\khhfd.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\ljhhg.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\ljhhi.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\ljjgg.dll -> Adware.Virtumonde : Gesäubert

Rest im nächsten Post

Hier geht weiter:

mit Backup
   C:\WINDOWS\system32\mljig.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\mljkj.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\mllig.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\mllii.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\mllkl.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\nnljk.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\nnnli.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\nnnlj.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\opnlm.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\opnon.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\oppnk.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\oppno.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\pmkjg.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\pmkjk.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\pmkki.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\pmnli.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\pmnlk.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\pmnmj.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\pmnnm.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\qopml.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\rqron.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\ssqnm.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\tustu.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\tuvvt.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\tuvww.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\urssq.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\vtssp.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\vtstt.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\vtust.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\xxywt.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\yabay.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\yabbb.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\yabca.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\yabcb.dll -> Adware.Virtumonde : Gesäubert mit Backup
   C:\WINDOWS\system32\yayay.dll -> Adware.Virtumonde : Gesäubert mit Backup
   D:\hijackthis_199\backups\backup-20060611-112524-577.dll -> Adware.Virtumonde : Gesäubert mit Backup
   D:\hijackthis_199\backups\backup-20060611-112601-870.dll -> Adware.Virtumonde : Gesäubert mit Backup
   D:\hijackthis_199\backups\backup-20060611-203223-130.dll -> Adware.Virtumonde : Gesäubert mit Backup
   D:\hijackthis_199\backups\backup-20060611-203351-519.dll -> Adware.Virtumonde : Gesäubert mit Backup

Nach dem ersten verbinden mit dem Internet beginnt die gleiche Sch. wieder von vor. Irgend eine Datei lädt sofort von neuem Trojaner/Virus herunter und versucht sie zu platzieren. Spybot und Panda erkennen die Prozesse, können aber die Ursache nicht beseitigen.

Bin auch langsam am überlegen ob ich alles Platt machen soll weiss aber nicht ob selbst eine Formatierung diese Pest restlos beseitigen kann.

Für hilfreiche Tips und Ideen immer noch offen.

Generfte Grüsse   Andy

Panda findet momentan

 - Virtumonde    mehrfach
 - WW32 Akbot.K.Worm
 - Downloader .INK"Worm

Gruss Andy

Hi,
verwende das Programm Killbox um die folgenden Dateien zu löschen:
Download = http://www.bleepingcomputer.com/files/killbox.php

C:\WINDOWS\update\updmangr.exe
C:\WINDOWS\SYSTEM32\ssqnm.dll
C:\Dokumente und Einstellungen\Besitzer\ww32.exe/dotdr.exe

Eine Anleitung zur Killbox ist unter diesem Link zu finden
http://virus-protect.org/killbox.html


Sehr Merkwürdig ist aber, das bei jeden weiteren AV-Scan neue Malware gefunden wird.
Ist AVG deinstalliert und die Panda Software installiert,
wir reden hier nicht vom Online Scanner !?
Denn wenn die Panda Software installiert ist sollte ein nachladen der Malware aus dem Internet nicht mehr möglich sein!
Es ist durchaus möglich, das jemand mit Hilfe eines Backdoor-Programms die Kontrolle über deinen PC übernommen, dafür sprechen die 2 Funde von Malware:

C:\WINDOWS\update\updmangr.exe -> Backdoor.Agent.abc
und
Akbot.K

Also führe die Killbox aus und scanne im Anschluss deinen PC noch mal mit
Ewido – Panda – Bitdefender, in dieser Reihenfolge.

Gehe dazu wie folgt vor:
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren 
3. PC im abgesicherten Modus starten
5. Mit der Killbox noch mal die oben genannten Dateien löschen, mit Reboot.
6. PC im abgesicherten Modus starten
7. Mit Ewido – Panda – Bitdefender einen maximalen Scan ausführen !
8. PC wieder normal booten

Wichtig!
Poste bitte unbedingt die vollständige Scanprotokoll von Ewido, Panda und Bitdefender !!!
Jedes mal fehlt ein Protokoll, diesmal das von Panda und damit fehlen immer wieder sehr wichtige Informationen um das Problem zu lösen.
Ebenso fehlt der neue HijackThis-Log, bitte erstelle zum Schluss ein neues und poste den Logfile hier.

Hi Help

Habe mich peinlichst an deine Anweisungen gehalten. Nix online sacan.
Kann in der Panda Trail Version auch ein log gespeichert werden? Konnte es bis jetzt nur einsehen.

Werde jetzt nochmals alles wie vorgeschlagen scannen un killen.

Im Moment Versuchen Panda und Spybot die bösartigen Sachen zu blocken.

Gruss Andy

“Kann in der Panda Trail Version auch ein log gespeichert werden“?
Ja, das ist möglich. Schau mal Berichte oder so ähnlich.
Wichtig ist, Wo - Wann - Was gefunden wird!
+Malwarename
+Dateiname
+Speicherort, der ganze Pfad

“Im Moment Versuchen Panda und Spybot die bösartigen Sachen zu blocken.“
Versuchen sie nur oder blockieren sie das nachladen der Malware?

Hallo Help

Also wieder alles nach Vorgabe durchgescannt.
Zuvor noch in der Registry manuell Updatemanager gelöscht., danach mit Spybot und Panda die Versuche der neuen Einträge geblockt oder gelöscht.
Danach die 3 Dateien mit Killbox gekillt.

Weiter mit Ewido Scann im abgesicherten Modus.
Resultat:
---------------------------------------------------------
 ewido anti-malware - Scan Report
---------------------------------------------------------

 + Erstellt am:      21:22:22, 15.06.2006
 + Report-Checksumme:   FEFC0BA

 + Scanergebnis:

   C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup


::Report Ende

Weiter mit Bit defender. Resultat: Nichts gefunden.

Weiter mit Panda : Resultat 1 infiszierte Datei Adware Maxfiles ---Beseitigt.

weiter mit Logfile Hijack :  siehe nächstes Post.

Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:24:34, on 15.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
D:\Unlocker\UnlockerAssistant.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\WINDOWS\System32\svchost.exe
D:\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150225861822
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: ssqnm - ssqnm.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe (file missing)
O23 - Service: Windows Sub-System Security Center (WSSCServ) - Unknown owner - C:\WINDOWS\system32\wsscserv.exe (file missing)




Unter C Dokumente und Einstellungen - Besitzer sind bis jetzt keine ww32 und dotdr.exe mehr aufgetaucht.
Neu ist eine 4KB Datei namens sck32. Ist es vieleicht die von Spybot oder Panda umbenannte ww32. Ich versuche sie mal zu löschen und scha was und ob etwas wiederkommt.
Sieht glaube ich schon mal etwas besser aus zumal nichts mehr von dem Viruaworld gefunden wurde.

Bin gespannt auf Deine Interpretation.
Gruss und an dieser Stelle mal vielen dank für deine Bemühungen.

Andy

Fixe noch die folgenden Einträge aus dem Logfile of HijackThis, diese sind nur noch harmlose Reste der Malware:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

O20 - Winlogon Notify: ssqnm - ssqnm.dll (file missing)

O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe (file missing)

O23 - Service: Windows Sub-System Security Center (WSSCServ) - Unknown owner - C:\WINDOWS\system32\wsscserv.exe (file missing)

Zu den Logs folgendens:
Noch eine Malware die bis jetzt nicht erkannt wurde:
Panda : Resultat 1 infiszierte Datei Adware Maxfiles ---Beseitigt.

Das ist harmlos, keine Malware:
ewido anti-malware - Scan Report
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup

Werden jetzt noch Angriffe bzw. Zugriffe durch Malware von Panda und Spybot  registriert?
Ansonsten sollte jetzt alles wieder OK sein.

Tipp:
Wenn du jetzt nach einer neuen Security Lösung suchst, dann greife zu einen der Top Produkte:
Kaspersky Anti-Virus 6.0
oder den Vollschutz Kaspersky Internet Security 6.0
(Neben Antivirus noch eine Firewall + Spamschutz)
Über die aktuelle Computerbild CD-Ausgabe für 2,30 Euro besteht die Möglichkeit das Programm für ein Jahr kostenlos zu nützen. 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hi,

Ich kann jedem nur Kaspersky Internet-Security 6 empfehlen.

Erkennt:

- Viren
- Würmer
- Trojaner
-
Dialer
-
Spyware
-
Adware
- Riskware
- Hackerprogramme
- andere Schadprogramme

Weitere Merkmale:

- Blockt Banner und Pop-Ups
- Firewall
-
Phishing Schutz
- Proaktiver Schutz gegen unbekannte Viren und 
  Registrierungs Änderungen
- Anti-Spam
- Untersucht Skripts und http im Web
- Mail-Anti-Virus

Und das mit der gewohnt guten Scan-Engine. Außerdem habe ich noch keine Probleme mit Kaspersky gehabt und der Systemressourcen Verbrauch ist auch akzeptabel

Hi zusammen
Also mal ganz grossen Dank an Help der mir mit seinen Tips so toll geholfen hat.Hatte bis vor kurzem jahrelang den gratis Virenscanner mit dem Schirmchen und nie auch nur die geringsten Probleme.Mit der neuen Schirmchenversion hate ich aber nur Probleme und zwar nicht mit Viren sondern mein System kam bös durcheinander.Bin dann auf AVG umgestiegen und mir gefiel vor allem der blizschnelle Updateservice.Nebenbei habe ich immer Spybot am laufen was ich für ein ganz genjales Programm halte.

Panda hat bis jetzt nur 3 mal angezeigt das Lsass Exploit versuchte auf den PC zuzugreifen und geblockt wurde. ansonsten läuft alles rund und auch der PC fährt wieder normal runter ohne Programm sofort beenden benützen zu müssen.

Werde die Dateien im Hijacklog noch fixen und hoffe nun ruhe von den Plagegeistern zu haben.
Nochmals Merci, habe wieder etwas dazugelernt.

Gruss Andy

 :)

Denke daran das Panda nur eine 30 Tage Testversion ist und sich nur einmal updaten lässt.
Deshalb ist der PC vor neuer Malware nur noch beschränkt geschützt!


« win me will nicht...Kann die Windows-CD nicht starten ! Hilfe ! »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Internet
Das Internet, ein aus den Worten "International" und "Network" zusammengesetzter Begriff, ist ein globales Netzwerk (WAN: Wide Area Network), das eine Vielzahl von Comput...

Internet Time
Siehe Swatch Internet Time. ...

Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...