Hi erstmal, also ich hab ein Problem, den Trojaner TR/Vundo.DNL, zu dem speziell ich hier auch mit der Suchfunktion nichts gefunden hab... Ich kenne mich nicht gut aus, aber habs wie in anderen Beiträgen, die Vundo betreffen, mit vundofix probiert, aber er kommt immer wieder. Auch die Systemwiederherstellung hab ich aus gemacht und versteckte Dateien anzeigen lassen, den backupordner von vundofix gelöscht.
Aber jedes mal wenn ich eine Datei öffne, zeigt mir die avira antivir personal edition wieder eine Meldung, und teilweise springt er bei Spielen (zB. Need for Speed Carbon, Rise of Nations) mitten im Spiel einfach zurück zum Desktop oder der Bildschirm wird kurz schwarz und der PC fährt spontan neu hoch.
Außer vundo wird mir von avira auch ein trojaner namens irgendwas mit drop.agent angezeigt, beim nächsten mal kann ich nach dem genauen namen gucken(bei drop agent habe ich noch keine reglmäßigkeit bemerkt, wann es auftritt, deswegen bin ich schon froh, wenn ich vundo weg kriege, immer eins nach dem anderen^^)
Hier der HiJckThis Log (das 08.10. stimmt nicht, der ist von grade;ich hoffe ich hab alle namen und webadressen ausreichend verändert):
Logfile of HijackThis v1.99.1
Scan saved at 15:48:06, on 08.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\eAcceleration\Station\station.exe
C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\******\LOKALE~1\Temp\Rar$EX00.031\pruefung.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://w*w.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://w*w.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.searchgateway.net/search/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F3 - REG:win.ini: load=C:\WINDOWS\system32\ssqrp.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F2F48AD-3D82-4D2A-A4CA-0FE1949E3BF2} - C:\WINDOWS\system32\ssqrp.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Programme\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
O2 - BHO: (no name) - {838063B6-43F9-44D6-97CB-8A213AF54B27} - C:\WINDOWS\system32\rqrrsss.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_12\bin\jusched.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SoftwareStation] C:\Programme\eAcceleration\Station\station.exe /b Startup
O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Programme\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus
O4 - HKLM\..\Run: [StopSignSsSsMon] Rundll32.exe "C:\Programme\Acceleration Software\Anti-Virus\ssssmon.dll",VerifyStatus
O4 - HKLM\..\Run: [webscan] "C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe" -k
O4 - HKLM\..\RunOnce: [StopSignSsSsMon] Rundll32.exe "C:\Programme\Acceleration Software\Anti-Virus\ssssmon.dll",VerifyStatus /ro
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Search - h**p://kp.bar.need2find.com/KP/menusearch.html?p=KP
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_12\bin\npjpi142_12.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_12\bin\npjpi142_12.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197548713265
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: rqrrsss - C:\WINDOWS\SYSTEM32\rqrrsss.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Ich hoffe auf eure Hilfe und würde mich über Antworten freuen, mfg, Turgon

Turgon

Lade bitte die nachfolgenden Dateien bei VirusTotal (in meiner Signatur) und poste das Ergebnis aller Scanner inkl. Dateigröße etc.:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
C:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
         

Es sieht zumindest nach Adware aus, das ist sicher, hier:

Code: Alles auswählenAufklappen

ATTFilter

h**p://kp.bar.need2find.com/KP/menusearch.html?p=KP
         

Veraltete Anwendung, mögliches Einfallstor für Schädlinge:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Java\j2re1.4.2_12\bin\jusched.exe
         

Aktuell ist Java Version 6, Update 4!

Hierzu:

Sun schließt mehrere Schwachstellen in Java - heise Security

Ferner:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
         

Eine PUA, sieh hier:

P2P Networking - Potenziell unerwünschte Anwendung - Sophos Bedrohungsanalyse

Aber stell mal das Scanergebnis rein, dann sehen wir weiter!

das kommt beim ersten:
Datei ND2FNBAR.DLL empfangen 2008.01.20 17:43:59 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 24/32 (75%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 5.
Geschätzte Startzeit is zwischen 50 und 72 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.19.10 2008.01.18 -
AntiVir 7.6.0.48 2008.01.20 ADSPY/MySearch.E
Authentium 4.93.8 2008.01.20 -
Avast 4.7.1098.0 2008.01.20 Win32:Findbar
AVG 7.5.0.516 2008.01.20 Adware Generic.ATM
BitDefender 7.2 2008.01.20 Application.Need2find.A
CAT-QuickHeal 9.00 2008.01.19 AdWare.MySearch.e (Not a Virus)
ClamAV 0.91.2 2008.01.20 Adware.Toolbar-86
DrWeb 4.44.0.09170 2008.01.20 Adware.IESearch
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5470 2008.01.18 -
Ewido 4.0 2008.01.20 -
FileAdvisor 1 2008.01.20 Low threat detected
Fortinet 3.14.0.0 2008.01.20 Adware/Need2Find
F-Prot 4.4.2.54 2008.01.19 W32/Need2Find.A@adw
F-Secure 6.70.13260.0 2008.01.20 -
Ikarus T3.1.1.20 2008.01.20 not-a-virus:AdWare.Win32.MySearch.e
Kaspersky 7.0.0.125 2008.01.20 not-a-virus:AdWare.Win32.MySearch.e
McAfee 5211 2008.01.18 potentially unwanted program Adware-Need2Find
Microsoft 1.3109 2008.01.20 Program:Win32/Need2FindBar
NOD32v2 2808 2008.01.20 Win32/Adware.Toolbar.MyWebSearch
Norman 5.80.02 2008.01.20 W32/MySearch.E
Panda 9.0.0.4 2008.01.20 Application/Need2Find
Prevx1 V2 2008.01.20 Generic.Malware
Rising 20.27.62.00 2008.01.20 -
Sophos 4.24.0 2008.01.20 -
Sunbelt 2.2.907.0 2008.01.17 Need2FindBar
Symantec 10 2008.01.20 Adware.MWSearch
TheHacker 6.2.9.191 2008.01.19 Adware/MySearch.e
VBA32 3.12.2.5 2008.01.19 AdWare.MySearch.e
VirusBuster 4.3.26:9 2008.01.20 Adware.MySearch.A
Webwasher-Gateway 6.6.2 2008.01.20 Ad-Spyware.MySearch.E
weitere Informationen
File size: 233472 bytes
MD5: a2799fc1585474709d8eb2629552e926
SHA1: 183e15229377854b9242120a8af4850888cb0e3e
PEiD: -
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=a2799fc1585474709d8eb2629552e926
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=1D79229B00FEC6E190F203EB7C157E00F1A3492C
Sunbelt info: Need2FindBar is a browser helper object (BHO) toolbar that has a search function.

und das beim zweiten:
Datei BearShareMediaBar.dll empfangen 2008.01.20 17:49:12 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 1/32 (3.13%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.19.10 2008.01.18 -
AntiVir 7.6.0.48 2008.01.20 -
Authentium 4.93.8 2008.01.20 -
Avast 4.7.1098.0 2008.01.20 -
AVG 7.5.0.516 2008.01.20 -
BitDefender 7.2 2008.01.20 -
CAT-QuickHeal 9.00 2008.01.19 -
ClamAV 0.91.2 2008.01.20 -
DrWeb 4.44.0.09170 2008.01.20 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5470 2008.01.18 -
Ewido 4.0 2008.01.20 -
FileAdvisor 1 2008.01.20 -
Fortinet 3.14.0.0 2008.01.20 -
F-Prot 4.4.2.54 2008.01.19 -
F-Secure 6.70.13260.0 2008.01.20 -
Ikarus T3.1.1.20 2008.01.20 not-a-virus:AdWare.Win32.Mostofate.j
Kaspersky 7.0.0.125 2008.01.20 -
McAfee 5211 2008.01.18 -
Microsoft 1.3109 2008.01.20 -
NOD32v2 2808 2008.01.20 -
Norman 5.80.02 2008.01.20 -
Panda 9.0.0.4 2008.01.20 -
Prevx1 V2 2008.01.20 -
Rising 20.27.62.00 2008.01.20 -
Sophos 4.24.0 2008.01.20 -
Sunbelt 2.2.907.0 2008.01.17 -
Symantec 10 2008.01.20 -
TheHacker 6.2.9.191 2008.01.19 -
VBA32 3.12.2.5 2008.01.19 -
VirusBuster 4.3.26:9 2008.01.20 -
Webwasher-Gateway 6.6.2 2008.01.20 -
weitere Informationen
File size: 480696 bytes
MD5: 36871f3e2faa57b4c005131b835292e9
SHA1: 03bb02d95f523d0e159cbc8f24622191cb25b139
PEiD: -

Also dieses need2find ist bei mir oben im browser (hab internet explorer) so eine suchleiste, ich guck mal ob ich die gelöscht kriege... und bearshare schmeiß ich gleich auch runter und gucke mal ob ich ein update von java finde. Kannst du mir sagen, ob/wie ich diesen warnton ausstellen kann(wenns keine umstände macht), bis ich die viren hier runter hab? der hängt mir mittlerweile schon derbst zum hals raus^^
Thx übrigens schonmal für deine hilfe

Turgon

Zitat:

Kannst du mir sagen, ob/wie ich diesen warnton ausstellen kann(wenns keine umstände macht), bis ich die viren hier runter hab?

Du hast keinen erwähnt, oder hab ich was überlesen? Was für ein Warnton??

Versuche mal, das Zeug über die Sys-Steuerung --> Software zu entfernen.

Also Bearshare hab ich jetzt runter, und Java auf version 6 update 3 upgedatet...das update 4 hab ich gestern nicht gefunden. Das need2find ist auch gelöscht. Aber die Vundo Warnmeldung kommt immer noch bei allem, was ich öffne und eine drop.agent Trojaner Warnung bei jedem Start des computers.
Ich meinte den Warnton, der aus dem Rechner bei Viruswarnungen kommt, weil der raubt mir den rest meiner nerven^^
Hier mal der neue HJT-Log, hoffentlich hilft der schonmal weiter, vundo zu löschen..:

Logfile of HijackThis v1.99.1
Scan saved at 13:22:28, on 09.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier .exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.125\pruefung.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.searchgateway.net/search/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
F3 - REG:win.ini: load=C:\WINDOWS\system32\ssqrp.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {838063B6-43F9-44D6-97CB-8A213AF54B27} - C:\WINDOWS\system32\rqrrsss.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {FACA9598-9687-4A7C-A621-6FAE4C863095} - C:\WINDOWS\system32\ssqrp.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SoftwareStation] C:\Programme\eAcceleration\Station\station.exe /b Startup
O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Programme\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus
O4 - HKLM\..\Run: [StopSignSsSsMon] Rundll32.exe "C:\Programme\Acceleration Software\Anti-Virus\ssssmon.dll",VerifyStatus
O4 - HKLM\..\Run: [webscan] "C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe" -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKLM\..\RunOnce: [StopSignSsSsMon] Rundll32.exe "C:\Programme\Acceleration Software\Anti-Virus\ssssmon.dll",VerifyStatus /ro
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197548713265
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: rqrrsss - C:\WINDOWS\SYSTEM32\rqrrsss.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Ich hb auch eben mit Antivir einen kompletten Scan gemacht, vielleicht bringt der ja auch was:



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 9. Januar 2008 12:38

Es wird nach 1058642 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: ULRIKEPC

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 17:59:48
ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15.01.2008 14:05:04
ANTIVIR3.VDF : 7.0.2.21 246272 Bytes 20.01.2008 14:28:12
AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 04.01.2008 14:05:05
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 04.01.2008 14:05:05
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 9. Januar 2008 12:38

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier .exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched .exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '28' Prozesse mit '28' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\rqrrsss.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.DNL
[INFO] TR/Vundo.DNL:[HKEY_CLASSES_ROOT\CLSID\{838063B6-43F9-44D6-97CB-8A213AF54B27}\InprocServer32]:<@>=sz:rqrrsss.dll
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\rqrrsss.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.DNL

Die Registry wurde durchsucht ( '24' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ulrike\Lokale Einstellungen\Temp\TMP2.tmp
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.dgo.8
[INFO] Die Datei wurde gelöscht.
C:\Programme\dovsetup\gate.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.OZ
[INFO] Die Datei wurde gelöscht.
C:\Programme\dovsetup\thank.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.49
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\RCX6.tmp
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.dgo.227
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\RCX8.tmp
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.dgo.227
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\RCX9.tmp
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.dgo.227
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\RCXA.tmp
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.dgo.227
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\RCXB.tmp
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.dgo.227
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\rqrrsss.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.DNL
[INFO] TR/Vundo.DNL:[HKEY_CLASSES_ROOT\CLSID\{838063B6-43F9-44D6-97CB-8A213AF54B27}\InprocServer32]:<@>=sz:rqrrsss.dll
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\Temp\Adware\RXToolbar.exe
[WARNUNG] 'Enthält Erkennungsmuster des Droppers DR/RxBar.F.1'. Bei diesem Fund handelt es sich aller Wahrscheinlichkeit nach um eine Fehlmeldung. Bitte senden Sie uns diese Datei zur weiteren Analyse umgehend zu.


Ende des Suchlaufs: Mittwoch, 9. Januar 2008 13:04
Benötigte Zeit: 25:55 min

Der Suchlauf wurde vollständig durchgeführt.

3579 Verzeichnisse wurden überprüft
198070 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
8 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
198060 Dateien ohne Befall
837 Archive wurden durchsucht
4 Warnungen
0 Hinweise

Turgon

da ist noch mehr, guck mal:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\rqrrsss.dll
C:\WINDOWS\system32\ssqrp.dll
         

Bitte auch noch mal bei VirusTotal hochladen und Ergebnis posten.

Das Log sieht immer noch nicht ok aus......

hmm... die obere zeile hat er jetzt nicht mehr gefunden...
das ist die auswertung der zweiten:
Datei ssqrp.dll empfangen 2008.01.21 22:44:57 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 11/31 (35.49%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 44 und 63 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.22.10 2008.01.21 -
AntiVir 7.6.0.48 2008.01.21 -
Authentium 4.93.8 2008.01.21 -
Avast 4.7.1098.0 2008.01.21 Win32:TratBHO
AVG 7.5.0.516 2008.01.21 Generic9.AQNB
BitDefender 7.2 2008.01.21 Trojan.Vundo.DVD
CAT-QuickHeal 9.00 2008.01.21 -
ClamAV 0.91.2 2008.01.21 -
DrWeb 4.44.0.09170 2008.01.21 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5475 2008.01.21 -
Ewido 4.0 2008.01.21 -
FileAdvisor 1 2008.01.21 -
Fortinet 3.14.0.0 2008.01.21 -
F-Prot 4.4.2.54 2008.01.21 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13260.0 2008.01.21 Vundo.AL
Ikarus T3.1.1.20 2008.01.21 -
Kaspersky 7.0.0.125 2008.01.21 -
McAfee 5212 2008.01.21 -
Microsoft 1.3109 2008.01.21 Trojan:Win32/Vundo.gen!A
NOD32v2 2812 2008.01.21 -
Norman 5.80.02 2008.01.21 Vundo.AL
Panda 9.0.0.4 2008.01.21 -
Prevx1 V2 2008.01.21 Trojan.Vundo
Rising 20.28.02.00 2008.01.21 -
Sophos 4.24.0 2008.01.21 W32/VirtInf-B
Sunbelt 2.2.907.0 2008.01.17 -
TheHacker 6.2.9.192 2008.01.21 -
VBA32 3.12.2.5 2008.01.21 -
VirusBuster 4.3.26:9 2008.01.21 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2008.01.21 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 330752 bytes
MD5: 1eb67f23cded5fe136c7e130848220ea
SHA1: 975406accd0faed9f1132e878652621020bdcaf1
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=CF35672D00788B6C0CB705FE5C09F200F054F73B


und noch was: ich hab jetzt avira runtergeschmissen und kaspersky, spywarefighter und a-squared draufgemacht, spywarefighter zeigt mir grade noch mehr viren an: Trojan-Dropper.Win32.Agent.dgo und irgendwas, was mit not-a-virus anfängt und mit virtumonde aufhört, von virtumonde hab ich hier im board ja auch shcon gelesen... kann es sein, dass mein pc total verhunzt is?^^

Turgon

Zitat:

......kann es sein, dass mein pc total verhunzt is?^^

Jepp, kann nicht nur, ist wahrscheinlich sogar so......

BTW, eins kannst Du noch versuchen, wenn das dann immer noch nicht funzt, würde ich mal tabula rasa machen....

Lade und installiere Dir Ad-aware und Spybot S&D, aktualisiere sie und mache einen Scan mit beiden im abgesicherten Modus. Poste danach nochmal ein HJT.

Ad-aware - Download

Die Seite von Spybot-S&D!

Können wir erst mal Vundofix und dann Combofix laufen lassen?

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
* nach dem neustart, navigierst du zur datei C:\vundofix.txt, poste den inhalt
* C:\VundoFix Backups - löschen + Papierkorb leeren
* erstelle ein neues hjt-logfile und poste es.

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Zitat:

Können wir erst mal Vundofix und dann Combofix laufen lassen?

Natürlich.

Was ist tabula rasa? format:c ? Verdammt Naja jetzt gleich kommt ein Bekannter von mir der sich ziemlich gut auskennt... Ich denk mal, wenn nichts klappt, werden wir wohl formaiteren, ich danke euch trotzdem vielmals für eure Hilfe, vor allem dir, Clermont-Ferrand!
cya!

Noch würde ich hier nicht TR sagen, aber jeder wie er will.

Turgon

Ja, richtig erkannt, wenn nichts mehr hilft, dann bleibt nicht mehr viel.

Natürlich kann man diverse Tools ausprobieren, von daher war der Hinweis von BataAlexander vollkommen ok. Das Problem ist nur, daß Du bei keinem Removal die Sicherheit hast, daß danach wieder alles sauber ist, diese Sicherheit bietet nur format : C.

Kennst Du diese Links? (Kannst Du Dir ja mal "zu Gemüte führen", sind sehr lehrreich!)

Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun? – Microsoft TechNet: Rubrik Sicherheitsverwaltung

Homepage von Malte J. Wetz

Zitat:

Ich denk mal, wenn nichts klappt, werden wir wohl formaiteren, ich danke euch trotzdem vielmals für eure Hilfe, vor allem dir, Clermont-Ferrand!

Gerne geschehen, danke für die Rückmeldung.

Derartige Threads zeigen mir, das ich eindeutig zuwenig Zeit habe..

Halli hallo.

Ich klink mich ausnahmsweise mal wieder ein..

Zitat:

wenn nichts mehr hilft,

was hat denn nicht geholfen?? Aus meiner Warte wurde noch garkeine richtige Bereinigung versucht..

Vundo spackt momentan etwas rum; das gestalltet die Bereinigung etwas schwierig aber neuaufsetzten musst du nicht unbedingt.. Wenn du nicht viel auf dem Rechner hast dann ist es die sicherste und schnellste Methode aber notwendig ist es nicht.

Wenn du weiter machen möchtest Bata wäre ich dir sehr verbunden.. Ich müsste mir nämlich eigentlich weiter irgendein Fachwissen in die Birne