Kamel Gast |
dotdr.exe und ww32 ladet sic immer in C / Programme / Besitzer und kommt auch nachdem löschen wieder neu. Pc ist langsam und Internet instabil. Scan mit Ad Aware, Spybot und AVG haben den Trojaner/Virus nicht beseitigen können.
Wäre schön wenn mir jemand weiterhelfen könnte.
Gruss Andy
Im abgesicherten Modus !
unter SYSTEM die Systemwiederherstellumg AUS ,
dann http://www.hijackthis.de/
Anleitung : http://www.windowspower.de/artikel_HijackThis+Anleitung_653.html
Danach ggf:
Virenscan , auch im abgesicherten Modus !
Systemwiederherst. wenn OK = wieder AN
abgesicherter Modus:
Beim Start des PC mehrfach , spätestens beim 1. PIEP die F8 drücken ....
ODER :
Gehe auf Start , dann Ausführen .
Dort msconfig eintippen und auf OK .
Im aufgehenden Fenster Diagnosesystemstart einstellen + OK .
PC runterfahren lassen , startet dann im Abges. Modus .
Später wiederholen , "normaler Systemstart" wieder herstellen.
Kann die von hijack angegebenen dateien R0 und O2 nicht fixen
Hier mal mein Log
Logfile of HijackThis v1.99.1
Scan saved at 20:37:25, on 11.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\update\updmangr.exe
C:\WINDOWS\system32\wsscserv.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
D:\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ssqnm.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [mswap] rundll32.exe C:\WINDOWS\System32\mswap.dll,start
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O20 - Winlogon Notify: ssqnm - C:\WINDOWS\SYSTEM32\ssqnm.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe
Hallo,
anbei ein Vorschlag zur Lösung des Problems.
Lösche bitte deinen Browser Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
setze bei den Einstellungen unter dem Reiter von Windows und Anwendungen alle möglichen Häckchen und führe CCleaner aus.
Lade dir die kostenlose Software von Ewido herunter.
ewido anti-malware, ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen !
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren
Zur Kontrolle sollte noch eine Überprüfung mit den beiden kostenlosen Online-Scanner vorgenommen werden.
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
Bei Rückfragen bitte immer die Scan-Protokolle hier posten.
Zum Schluss erstelle ein neues HijackThis-Log und poste den Logfile hier.
Hallo und erst mal Danke für Eure Hilfe
Habe mit CCleaner die Caches gelöscht und anschliessend im abgesicherten Modus mit ewido gescannt. zuvor schon mit sysclean. beide haben Dateien gefunden und anscheinend gelöscht. Log von ewido untenstehend.
Kaum wieder am Internet findet mein Virenscanner AVG zum x ten mal den Trojaner "Trojan Horse.Generic.XUQ" und damit sind im Ordner C/Dokumente und Einstellungen/Besitzer wieder die Dateien dotdr.exe und WW32.(Bücherschachtel icon.
zum verzweifeln ???
---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------
+ Erstellt am: 22:20:49, 12.06.2006
+ Report-Checksumme: 51D16BAE
+ Scanergebnis:
C:\Dokumente und Einstellungen\Besitzer\ww32.exe/dotdr.exe -> Downloader.Adload.ap : Gesäubert mit Backup
C:\warebundle.exe -> Adware.Look2Me : Gesäubert mit Backup
C:\WINDOWS\QW5kcmVhcyAgTWVyeg\asappsrv.dll -> Adware.CommAd : Gesäubert mit Backup
C:\WINDOWS\QW5kcmVhcyAgTWVyeg\command.exe -> Adware.CommAd : Gesäubert mit Backup
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2B3NLBSW\Installer[1].exe -> Adware.Look2Me : Gesäubert mit Backup
C:\WINDOWS\system32\kddtat.dll -> Adware.Look2Me : Gesäubert mit Backup
C:\WINDOWS\update\updmangr.exe -> Backdoor.Agent.abc : Gesäubert mit Backup
::Report Ende
Win XP SP" Pentium4
Bitte noch das System mit den Online Scanner von Panda und Bitdefender scannen und die Logs hier Posten !
... und sollte diese Datei noch auf dem PC vorhanden sein
C:\WINDOWS\SYSTEM32\ssqnm.dll
dann lösche sie bitte mit der Freeware Unlooker
http://ccollomb.free.fr/unlocker/index.htm#download
(nur für Windows 2000 und XP)
im abgesicherten Modus.
Hi mal wieder
???
Immer noch grosse Probleme.
Habe versucht mit Unlocker im abgesicherten Modus oben erwähnte Datei zu löschen. Schreibt sich aber immer wieder neu ins System.
Wenn ich das Internet anhänge wird sofort Trojaner Downloader.Generic.XUQ und die bekannten dotdr.exe und ww32 geladen.
Zudem geht kurz ein Dos Fenster "C Windows system32 cmd exe auf mit Text "zugriff verweigert auf.
BitDefender Online Scanner
Bericht erstellt am: Mon, Jun 12, 2006 - 23:25:54
Zu prüfender Pfad: C:\
:\;E:\;F:\;
Statistik
Zeit
00:29:53
Dateien
131640
Ordner
1880
Boot-Sektoren
3
Archive
6967
Komprimierte Dateien
8744
Ergebnisse
Erkannte Viren
2
Infizierte Dateien
2
verdächtige Dateien
1
Warnungen
0
Desinfiziert
0
Gelöscht
2
Engine-Info
Virensignaturen
387755
Engine info
AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)
Prüf-Plugins
13
Archiv-Plugins
39
Extraktions-Plugins
5
E-Mail-Plugins
6
System-Plugins
1
Prüfeinstellungen
Primäre Aktion
Desinfizieren
Sekundäre Aktion
Löschen
Heuristik
Ja
Warnungen aktivieren
Ja
Zu prüfende Erweiterungen
*;
Auszuschließende Erweiterungen
E-Mails prüfen
Ja
Archive prüfen
Ja
Komprimierte Dateien prüfen
Ja
Dateien prüfen
Ja
Boot-Sektoren prüfen
Ja
Geprüfte Dateien
Status
C:\AVG7QT.DAT
Infiziert: Trojan.Qhosts.B
C:\AVG7QT.DAT
Desinfektion fehlgeschlagen
C:\AVG7QT.DAT
Gelöscht
C:\WINDOWS\system32\drivers\etc\hosts.20060611-100132.backup
Infiziert: Generic.Qhost
C:\WINDOWS\system32\drivers\etc\hosts.20060611-100132.backup
Desinfektion fehlgeschlagen
C:\WINDOWS\system32\drivers\etc\hosts.20060611-100132.backup
Gelöscht
C:\WINDOWS\update\updmangr.exe
Verdächtig: Dropped:Generic.Malware.SY.C7A0BA08
C:\WINDOWS\update\updmangr.exe
Desinfektion fehlgeschlagen
C:\WINDOWS\update\updmangr.exe
Löschung fehlgeschlagen
Für weiter Hilfe wirklich dankbar
Grüsse Euch Andy
Hat dir diese Antwort geholfen?
Hat dir diese Antwort geholfen?
Ach, und noch was
http://www.rokop-security.de/lofiversion/index.php/t892.html
Da hat sich neben der erkannten und bereits beseitigten Malware auch noch was bei dir auf dem Rechner eingenistet das noch recht unbekannt bzw. Neu ist und einige Fragen offen läst.
Also einzige das bis jetzt klar ist, das auch diese Dateien vom PC für immer entfernt werden müssen:
C:\WINDOWS\update\updmangr.exe
C:\WINDOWS\SYSTEM32\ssqnm.dll
C:\Dokumente und Einstellungen\Besitzer\ww32.exe/dotdr.exe
Lade dir bitte zu erst einmal die Testversion von Panda herunter.
http://www.computerbase.de/downloads/software/antivirensoftware/panda_titanium_antivirus/
Und führe als nächstes bei Ewido ein Update aus.
Dann gehe wie folgt vor:
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren (Nur Windows XP und ME)
3. Deinstalliere deine Antivirussoftware AVG !
4. PC im abgesicherten Modus starten
5. Mit Unlocker noch mal die oben genannten Dateien über “Kill Process“ löschen
6. Mit Ewido einen maximalen Scan ausführen !
7. PC wieder normal booten
8. Die Testversion von Panda installieren und ein Update ausführen
9. Mit Panda einen maximalen Scan ausführen !
Die Methode ist zwar etwas ungewöhnlich, aber die Ereignisse fordern ungewöhnliche Lösungen.
Behalte die Testversion von Panda mal für ein paar Tage auf dem Rechner um das ganze zu kontrollieren.
Und nicht vergessen, bei Rückfragen bitte die ausführlichen Scanergebnisse hier posten.
ich habe auch das selbe problem, dotdr.exe. und ein paar weitere (eraseme usw.) währe cool wenn einer ne unkomplizierte lösung weiss die auch funktioniert. ich tippe dann mal auf formatieren und xp neu drauf machen.
aargh
Hi "Help"
Ist ja wirklich die Pest
Ich habe alle Deine voprgeschlagenen schritte befolgt. Update Ewido und Scann. Hier das Logfile nach 1. Scan
---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------
+ Erstellt am: 23:12:20, 13.06.2006
+ Report-Checksumme: 5ACE5A02
+ Scanergebnis:
C:\Dokumente und Einstellungen\Besitzer\Cookies\[email protected][1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Cookies\[email protected][2].txt -> TrackingCookie.Myaffiliateprogram : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0000f73b -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00010f7b -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0001115c -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp000111f2 -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0001133d -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00011550 -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00011a1f -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00011b1a -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp000121a2 -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00012256 -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0001282b -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00012b2e -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0001349b -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00013c14 -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00014b4b -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00014cfa -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00014f17 -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0001eb4a -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00022b9a -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp000282ea -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0002d48e -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00045997 -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00059226 -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp00079544 -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp0007cf0b -> Adware.Virtumonde : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\tmp000b0a22 -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\awvtr.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\byvtu.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\byvvt.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\byxur.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\byxyx.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\cbayv.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\cbxvw.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\cbxww.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\ddcaa.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\efcca.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\efcya.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\fccbc.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\fcyya.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\gebaa.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\gebby.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\geecd.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\hgddd.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\hggdc.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\hgged.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\iiffd.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\iiiii.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\jkhff.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\jkhgh.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\jkkih.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\jkkkh.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\khhfd.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\ljhhg.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\ljhhi.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\ljjgg.dll -> Adware.Virtumonde : Gesäubert
Rest im nächsten Post
Hier geht weiter:
mit Backup
C:\WINDOWS\system32\mljig.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\mljkj.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\mllig.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\mllii.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\mllkl.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\nnljk.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\nnnli.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\nnnlj.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\opnlm.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\opnon.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\oppnk.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\oppno.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\pmkjg.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\pmkjk.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\pmkki.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\pmnli.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\pmnlk.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\pmnmj.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\pmnnm.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\qopml.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\rqron.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\ssqnm.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\tustu.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\tuvvt.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\tuvww.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\urssq.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\vtssp.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\vtstt.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\vtust.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\xxywt.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\yabay.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\yabbb.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\yabca.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\yabcb.dll -> Adware.Virtumonde : Gesäubert mit Backup
C:\WINDOWS\system32\yayay.dll -> Adware.Virtumonde : Gesäubert mit Backup
D:\hijackthis_199\backups\backup-20060611-112524-577.dll -> Adware.Virtumonde : Gesäubert mit Backup
D:\hijackthis_199\backups\backup-20060611-112601-870.dll -> Adware.Virtumonde : Gesäubert mit Backup
D:\hijackthis_199\backups\backup-20060611-203223-130.dll -> Adware.Virtumonde : Gesäubert mit Backup
D:\hijackthis_199\backups\backup-20060611-203351-519.dll -> Adware.Virtumonde : Gesäubert mit Backup
Nach dem ersten verbinden mit dem Internet beginnt die gleiche Sch. wieder von vor. Irgend eine Datei lädt sofort von neuem Trojaner/Virus herunter und versucht sie zu platzieren. Spybot und Panda erkennen die Prozesse, können aber die Ursache nicht beseitigen.
Bin auch langsam am überlegen ob ich alles Platt machen soll weiss aber nicht ob selbst eine Formatierung diese Pest restlos beseitigen kann.
Für hilfreiche Tips und Ideen immer noch offen.
Generfte Grüsse Andy
Hi,
verwende das Programm Killbox um die folgenden Dateien zu löschen:
Download = http://www.bleepingcomputer.com/files/killbox.php
C:\WINDOWS\update\updmangr.exe
C:\WINDOWS\SYSTEM32\ssqnm.dll
C:\Dokumente und Einstellungen\Besitzer\ww32.exe/dotdr.exe
Eine Anleitung zur Killbox ist unter diesem Link zu finden
http://virus-protect.org/killbox.html
Sehr Merkwürdig ist aber, das bei jeden weiteren AV-Scan neue Malware gefunden wird.
Ist AVG deinstalliert und die Panda Software installiert,
wir reden hier nicht vom Online Scanner !?
Denn wenn die Panda Software installiert ist sollte ein nachladen der Malware aus dem Internet nicht mehr möglich sein!
Es ist durchaus möglich, das jemand mit Hilfe eines Backdoor-Programms die Kontrolle über deinen PC übernommen, dafür sprechen die 2 Funde von Malware:
C:\WINDOWS\update\updmangr.exe -> Backdoor.Agent.abc
und
Akbot.K
Also führe die Killbox aus und scanne im Anschluss deinen PC noch mal mit
Ewido – Panda – Bitdefender, in dieser Reihenfolge.
Gehe dazu wie folgt vor:
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren
3. PC im abgesicherten Modus starten
5. Mit der Killbox noch mal die oben genannten Dateien löschen, mit Reboot.
6. PC im abgesicherten Modus starten
7. Mit Ewido – Panda – Bitdefender einen maximalen Scan ausführen !
8. PC wieder normal booten
Wichtig!
Poste bitte unbedingt die vollständige Scanprotokoll von Ewido, Panda und Bitdefender !!!
Jedes mal fehlt ein Protokoll, diesmal das von Panda und damit fehlen immer wieder sehr wichtige Informationen um das Problem zu lösen.
Ebenso fehlt der neue HijackThis-Log, bitte erstelle zum Schluss ein neues und poste den Logfile hier.
Hi Help
Habe mich peinlichst an deine Anweisungen gehalten. Nix online sacan.
Kann in der Panda Trail Version auch ein log gespeichert werden? Konnte es bis jetzt nur einsehen.
Werde jetzt nochmals alles wie vorgeschlagen scannen un killen.
Im Moment Versuchen Panda und Spybot die bösartigen Sachen zu blocken.
Gruss Andy
“Kann in der Panda Trail Version auch ein log gespeichert werden“?
Ja, das ist möglich. Schau mal Berichte oder so ähnlich.
Wichtig ist, Wo - Wann - Was gefunden wird!
+Malwarename
+Dateiname
+Speicherort, der ganze Pfad
“Im Moment Versuchen Panda und Spybot die bösartigen Sachen zu blocken.“
Versuchen sie nur oder blockieren sie das nachladen der Malware?
Hallo Help
Also wieder alles nach Vorgabe durchgescannt.
Zuvor noch in der Registry manuell Updatemanager gelöscht., danach mit Spybot und Panda die Versuche der neuen Einträge geblockt oder gelöscht.
Danach die 3 Dateien mit Killbox gekillt.
Weiter mit Ewido Scann im abgesicherten Modus.
Resultat:
---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------
+ Erstellt am: 21:22:22, 15.06.2006
+ Report-Checksumme: FEFC0BA
+ Scanergebnis:
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
::Report Ende
Weiter mit Bit defender. Resultat: Nichts gefunden.
Weiter mit Panda : Resultat 1 infiszierte Datei Adware Maxfiles ---Beseitigt.
weiter mit Logfile Hijack : siehe nächstes Post.
Hijack Log:
Logfile of HijackThis v1.99.1
Scan saved at 22:24:34, on 15.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
D:\Unlocker\UnlockerAssistant.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\WINDOWS\System32\svchost.exe
D:\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150225861822
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: ssqnm - ssqnm.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe (file missing)
O23 - Service: Windows Sub-System Security Center (WSSCServ) - Unknown owner - C:\WINDOWS\system32\wsscserv.exe (file missing)
Unter C Dokumente und Einstellungen - Besitzer sind bis jetzt keine ww32 und dotdr.exe mehr aufgetaucht.
Neu ist eine 4KB Datei namens sck32. Ist es vieleicht die von Spybot oder Panda umbenannte ww32. Ich versuche sie mal zu löschen und scha was und ob etwas wiederkommt.
Sieht glaube ich schon mal etwas besser aus zumal nichts mehr von dem Viruaworld gefunden wurde.
Bin gespannt auf Deine Interpretation.
Gruss und an dieser Stelle mal vielen dank für deine Bemühungen.
Andy
Fixe noch die folgenden Einträge aus dem Logfile of HijackThis, diese sind nur noch harmlose Reste der Malware:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O20 - Winlogon Notify: ssqnm - ssqnm.dll (file missing)
O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe (file missing)
O23 - Service: Windows Sub-System Security Center (WSSCServ) - Unknown owner - C:\WINDOWS\system32\wsscserv.exe (file missing)
Zu den Logs folgendens:
Noch eine Malware die bis jetzt nicht erkannt wurde:
Panda : Resultat 1 infiszierte Datei Adware Maxfiles ---Beseitigt.
Das ist harmlos, keine Malware:
ewido anti-malware - Scan Report
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
Werden jetzt noch Angriffe bzw. Zugriffe durch Malware von Panda und Spybot registriert?
Ansonsten sollte jetzt alles wieder OK sein.
Tipp:
Wenn du jetzt nach einer neuen Security Lösung suchst, dann greife zu einen der Top Produkte:
Kaspersky Anti-Virus 6.0
oder den Vollschutz Kaspersky Internet Security 6.0
(Neben Antivirus noch eine Firewall + Spamschutz)
Über die aktuelle Computerbild CD-Ausgabe für 2,30 Euro besteht die Möglichkeit das Programm für ein Jahr kostenlos zu nützen.
Hat dir diese Antwort geholfen?
Hi,
Ich kann jedem nur Kaspersky Internet-Security 6 empfehlen.
Erkennt:
- Viren
- Würmer
- Trojaner
- Dialer
- Spyware
- Adware
- Riskware
- Hackerprogramme
- andere Schadprogramme
Weitere Merkmale:
- Blockt Banner und Pop-Ups
- Firewall
- Phishing Schutz
- Proaktiver Schutz gegen unbekannte Viren und
Registrierungs Änderungen
- Anti-Spam
- Untersucht Skripts und http im Web
- Mail-Anti-Virus
Und das mit der gewohnt guten Scan-Engine. Außerdem habe ich noch keine Probleme mit Kaspersky gehabt und der Systemressourcen Verbrauch ist auch akzeptabel
Hi zusammen
Also mal ganz grossen Dank an Help der mir mit seinen Tips so toll geholfen hat.Hatte bis vor kurzem jahrelang den gratis Virenscanner mit dem Schirmchen und nie auch nur die geringsten Probleme.Mit der neuen Schirmchenversion hate ich aber nur Probleme und zwar nicht mit Viren sondern mein System kam bös durcheinander.Bin dann auf AVG umgestiegen und mir gefiel vor allem der blizschnelle Updateservice.Nebenbei habe ich immer Spybot am laufen was ich für ein ganz genjales Programm halte.
Panda hat bis jetzt nur 3 mal angezeigt das Lsass Exploit versuchte auf den PC zuzugreifen und geblockt wurde. ansonsten läuft alles rund und auch der PC fährt wieder normal runter ohne Programm sofort beenden benützen zu müssen.
Werde die Dateien im Hijacklog noch fixen und hoffe nun ruhe von den Plagegeistern zu haben.
Nochmals Merci, habe wieder etwas dazugelernt.
Gruss Andy
| « win me will nicht... | Kann die Windows-CD nicht starten ! Hilfe ! » | ||
