was machen mljjggd.dll und tustt.dll ??? Virus?

whoknows · 13.12.2006, 12:47

Hallo Leute,

bin neu hier und hab gleich eine Bitte an Euch

Seit ein paar Tagen versuche ich 2 dubiose DLLs von meinem System zu bekommen - leider erfolglos. Dummerweise finde ich auch nach mehrtägigem Googlen nix

Hab mal ein aktuelles HJT-Log angehängt - es geht aber insbesondere um mljjggd.dll und tustt.dll (beide in Windows/System32)

Muss dazu sagen, dass ich bis gestern noch irgendso'ne Seuche von Virtumonde drauf hatte und was wie "Alexa" -> hat aber AVG AntiSpyware entsorgt. Nun tauchen aber immer noch diese 2 komischen DLLs auf und Antivir meldet nun ständig "Achtung Fund! heuristischer Treffer... Malware... tustt.dll" und ob in Quarantäne oder ignorieren, löschen wird nicht angeboten...

Bin mit meinem Latein am Ende und hoffe auf Eure Hilfe

Danke schon mal

Logfile of HijackThis v1.99.1
Scan saved at 12:38:18, on 13.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
g:\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\Mixer.exe
G:\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
G:\Spybot - Search & Destroy\TeaTimer.exe
G:\iOpus Flatrate Steckdose\flatrate.exe
C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE
G:\Adobe\Acrobat 6.0\Acrobat\Acrobat.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
G:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - (no file)
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - (no file)
O2 - BHO: (no name) - {50201725-B2D3-4B24-818A-8E6ED00DA89D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6619C78C-CFFE-4BA8-84C1-C60A53BA5363} - C:\WINDOWS\system32\mljjggd.dll (file missing)
O2 - BHO: (no name) - {9AA490EF-ABA8-4E6C-A3B3-B232C848C10F} - C:\WINDOWS\System32\tustt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - G:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "g:\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] g:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FlatrateSteckdose.lnk = G:\iOpus Flatrate Steckdose\flatrate.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{E99AFF98-E9DD-4A19-9AD8-53C8E6AA8827}: NameServer = 217.237.150.188 217.237.150.115
O20 - Winlogon Notify: tustt - C:\WINDOWS\System32\tustt.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - g:\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\SYSTEM32\GEARSEC.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Windows NT Session Manager (SMSS) - Unknown owner - C:\WINDOWS\system\
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

**Sunny** · 13.12.2006, 18:25

Hallo.

Zitat:

Nun tauchen aber immer noch diese 2 komischen DLLs auf und Antivir meldet nun ständig "Achtung Fund! heuristischer Treffer

Dann lass mal beide Dateien bei Virustotal überprüfen und poste anschliessend das Ergebnis. (markieren, kopieren und hier in einen Beitrag einfügen!)

Was mir an deinem Hijacklog mehr Sorgen macht sind diese Einträge:

Zitat:

O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\SYSTEM32\GEARSEC.EXE (file missing)
O23 - Service: Windows NT Session Manager (SMSS) - Unknown owner - C:\WINDOWS\system\

Lass die FETT markierte Datei (sofern vorhanden!) auch überprüfen!
Es könnte sich hierbei um diesen Schädling handeln -> W32/Stubbot-B

Dann würde ich definitiv zur Neuinstallation neigen!

Grund:

Zitat:

* Ermöglicht Dritten den Zugriff auf den Computer
* Fälscht die E-Mail-Adresse des Senders
* Verwendet seine eigene E-Mail-Engine
* Lädt Code aus dem Internet herunter
* Reduziert die Systemsicherheit

Gruß
Sunny

whoknows · 13.12.2006, 19:05

Hallo Sunny!

Erstmal Danke für Deine Antwort

Also die beiden DLLs hab ich schon überprüfen lassen - sind beide angeblich ok. Allerdings hatte Adaware die mljjggd.dll einem Trojaner zugeordnet und diesen wohl entfernt. Die DLL ist allerdings noch da

Tja und Gearsec.exe taucht immer wieder bei HJT auf, ist aber auf keiner HD zu finden

Hast du ne heisse Idee, wie ich die Datei aufspüren kann?

Danke und Gruß,

Tom

whoknows · 13.12.2006, 19:09

Habe grad in einem anderen Topic den Link zu CastleCops gelesen und denke, dass das dort beschriebene Ungeziefer auch bei mir wütet:

Malware Removal: Virtumundo - CastleCopsWiki

Virtumundo hat S&D auch bei mir gefunden und entfernt - taucht aber nach jedem Scan wieder auf

**Sunny** · 13.12.2006, 19:25

Zitat:

Zitat von whoknows

Also die beiden DLLs hab ich schon überprüfen lassen - sind beide angeblich ok.

Bitte das Ergebnis der Auswertung hier posten, das nichts gefunden wurde heisst nicht unbedingt das "da" auch nichts ist!

Zitat:

Tja und Gearsec.exe taucht immer wieder bei HJT auf, ist aber auf keiner HD zu finden

Hast du ne heisse Idee, wie ich die Datei aufspüren kann?

Laut deinem Hijacklog ist die Datei auch nicht mehr da (aktiv!), was man hier sehen kann:

Zitat:

O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\SYSTEM32\GEARSEC.EXE (file missing)

Normalerweise müsste man hier vom schlimmsten ausgehen...

whoknows · 14.12.2006, 14:49

OK, ich hab nun die tustt.dll heute noch mal scannen lassen und siehe da - das Ergebnis ist nun ein anderes als gestern, da kam nämlich durchweg "ok"

Hier das aktuelle Ergebnis:

Complete scanning result of "tustt.dll", received in VirusTotal at 12.14.2006, 14:44:53 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.15 12.14.2006 HEUR/Malware
Authentium 4.93.8 12.13.2006 no virus found
Avast 4.7.892.0 12.14.2006 no virus found
AVG 386 12.13.2006 no virus found
BitDefender 7.2 12.14.2006 no virus found
CAT-QuickHeal 8.00 12.13.2006 no virus found
ClamAV devel-20060426 12.14.2006 no virus found
DrWeb 4.33 12.14.2006 no virus found
eSafe 7.0.14.0 12.14.2006 no virus found
eTrust-InoculateIT 23.73.85 12.14.2006 no virus found
eTrust-Vet 30.3.3251 12.14.2006 no virus found
Ewido 4.0 12.14.2006 no virus found
Fortinet 2.82.0.0 12.14.2006 suspicious
F-Prot 3.16f 12.13.2006 no virus found
F-Prot4 4.2.1.29 12.13.2006 no virus found
Ikarus T3.1.0.26 12.14.2006 no virus found
Kaspersky 4.0.2.24 12.14.2006 no virus found
McAfee 4918 12.13.2006 Vundo
Microsoft 1.1804 12.14.2006 no virus found
NOD32v2 1921 12.14.2006 no virus found
Norman 5.80.02 12.14.2006 no virus found
Panda 9.0.0.4 12.13.2006 no virus found
Prevx1 V2 12.14.2006 no virus found
Sophos 4.12.0 12.14.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 VIPRE.Suspicious
TheHacker 6.0.3.131 12.10.2006 no virus found
UNA 1.83 12.13.2006 no virus found
VBA32 3.11.1 12.13.2006 no virus found
VirusBuster 4.3.15:9 12.13.2006 no virus found

Aditional Information
File size: 276532 bytes
MD5: 8d068b8797e47f95eedcd77a5594d14c
SHA1: d89b80c72efc082f3543d7863918fede9fae360f
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

whoknows · 16.12.2006, 13:24

Also mittlerweile habe ich alle möglichen Entfernungstools etc laufen lassen, aber immernoch keine Besserung

Weiß denn niemand Rat?

whoknows · 16.12.2006, 14:34

hab mal wieder ne neue Seuche gefunden... hier das virustotal-log:

Complete scanning result of "i", received in VirusTotal at 12.16.2006, 13:55:49 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.19 12.15.2006 no virus found
Authentium 4.93.8 12.15.2006 no virus found
Avast 4.7.892.0 12.15.2006 no virus found
AVG 386 12.15.2006 no virus found
BitDefender 7.2 12.16.2006 Generic.Botget.F75E1A10
CAT-QuickHeal 8.00 12.15.2006 no virus found
ClamAV devel-20060426 12.16.2006 Trojan.Downloader.Bat.Ftp.gen-1
DrWeb 4.33 12.16.2006 no virus found
eSafe 7.0.14.0 12.14.2006 no virus found
eTrust-InoculateIT 23.73.87 12.16.2006 Bat/FTPDownload!Trojan
eTrust-Vet 30.3.3254 12.15.2006 no virus found
Ewido 4.0 12.16.2006 no virus found
Fortinet 2.82.0.0 12.16.2006 BAT/Dloader.AB!worm
F-Prot 3.16f 12.15.2006 no virus found
F-Prot4 4.2.1.29 12.15.2006 no virus found
Ikarus T3.1.0.26 12.16.2006 Trojan-Downloader.BAT.Ftp.AB
Kaspersky 4.0.2.24 12.16.2006 Trojan-Downloader.BAT.Ftp.ab
McAfee 4920 12.15.2006 W32/Sdbot.worm!ftp
Microsoft 1.1804 12.15.2006 no virus found
NOD32v2 1924 12.15.2006 no virus found
Norman 5.80.02 12.15.2006 Text/BotFTP.gen
Panda 9.0.0.4 12.16.2006 W32/Sdbot.ftp.worm
Prevx1 V2 12.16.2006 no virus found
Sophos 4.12.0 12.14.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.132 12.16.2006 W32/SdBot.worm
UNA 1.83 12.15.2006 no virus found
VBA32 3.11.1 12.15.2006 no virus found
VirusBuster 4.3.19:9 12.15.2006 no virus found

Aditional Information
File size: 59 bytes
MD5: 80e1a1cc9a660d5e37d149ee7ff84c9f
SHA1: 35fb4592302b3e653e90afc388731c37b323930d

jettic · 16.12.2006, 23:49

Ich würde empfehlen wenn sich die Dateien mit keinem AV Programm löschen lassen sie manuel mit der Wiederherstellungskonsole zu löschen.

**Sunny** · 17.12.2006, 01:03

Zitat:

Zitat von jettic

Ich würde empfehlen wenn sich die Dateien mit keinem AV Programm löschen lassen sie manuel mit der Wiederherstellungskonsole zu löschen.

Ich würde empfehlen das System "endlich" neu zu installieren, zumal die anderen Probleme die hier benannt worden auch sehr dazu passen -> SDBOT

Zitat:

* Ermöglicht Dritten den Zugriff auf den Computer
* Lädt Code aus dem Internet herunter
* Reduziert die Systemsicherheit
* Installiert sich in der Registrierung
* Nutzt bekannte Schwachstellen aus

Gruß
Sunny

was machen mljjggd.dll und tustt.dll ??? Virus?

Plagegeister aller Art und deren Bekämpfung: was machen mljjggd.dll und tustt.dll ??? Virus?