Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: EmailWorm + Trojaner - was tun?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.07.2007, 15:05   #1
4x4x4
 
EmailWorm + Trojaner - was tun? - Icon21

EmailWorm + Trojaner - was tun?



Moin moin beisammen,
Ich habe auf meinem pc seit kurzem wieder einen virus (oder 2 oder mehr)
Die meldungen:
C:\WINDOWS\System32\44201422ld.exe is a destructive program named W32/Trojan.AVKZ
C:\WINDOWS\System32\confxxc.dll Infection: W32/EmailWorm.KGU
C:\WINDOWS\System32\e1.dll Infection: W32/EmailWorm.LGH
C:\WINDOWS\System32\confxxn.dll Infection: W32/ EmailWorm.KDO

Meine frage jetzt natürlich: was soll ich tun?!

Beste grüße 4x4x4

Alt 06.07.2007, 15:12   #2
dutchman
 
EmailWorm + Trojaner - was tun? - Standard

EmailWorm + Trojaner - was tun?



Naja ... wie schützt du deinen PC denn gegen Viren?
__________________


Alt 06.07.2007, 18:01   #3
4x4x4
 
EmailWorm + Trojaner - was tun? - Icon21

EmailWorm + Trojaner - was tun?



i.son virenscanner : F-Prot heißt er...
Schöne Grüße
__________________

Alt 06.07.2007, 18:24   #4
myrtille
/// TB-Ausbilder
 
EmailWorm + Trojaner - was tun? - Standard

EmailWorm + Trojaner - was tun?



Schön, dann wissen wir jetzt immerhin wie das Programm heißt, dass dir die Meldungen bringt.

Mache bitte ein HJT-Logfile, Anleitung in der FAQ-Abteilung des Forums.

lg myrtille

Alt 06.07.2007, 18:39   #5
4x4x4
 
EmailWorm + Trojaner - was tun? - Standard

EmailWorm + Trojaner - was tun?



Des Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:34:21, on 06.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\WINDOWS\V0220Mon.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\tgt86.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Corel\WordPerfect Office 2000\programs\alarm.exe
C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\xpspqdvd.exe
C:\Dokumente und Einstellungen\julia\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DUMeter\DUMeter.exe
O4 - HKLM\..\Run: [AVFX Engine] C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe
O4 - HKLM\..\Run: [V0220Mon.exe] C:\WINDOWS\V0220Mon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [xxndiag] C:\WINDOWS\tgt86.exe
O4 - HKLM\..\Run: [zxcdiag] C:\WINDOWS\System32\zxcconf.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: CorelCENTRAL-Benachrichtigungsfunktionen.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\alarm.exe
O4 - Global Startup: Desktop Application Director 9.LNK = C:\Programme\Corel\WordPerfect Office 2000\programs\dad9.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Sinus 154 stick.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{533C16A8-9ECA-4FC3-A5C8-43174AD54D76}: NameServer = 192.168.2.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: confxxn.dll e1.dll confzxc.dll zxcstat.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O20 - Winlogon Notify: xpspqdvd - C:\WINDOWS\System32\xpspqdvd.dll
O20 - Winlogon Notify: zxcmgr - C:\WINDOWS\SYSTEM32\zxcmgr32.dll
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Unknown owner - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)


Bitte sehr


Alt 06.07.2007, 18:47   #6
myrtille
/// TB-Ausbilder
 
EmailWorm + Trojaner - was tun? - Standard

EmailWorm + Trojaner - was tun?



Zitat:
Zitat von 4x4x4 Beitrag anzeigen
Logfile of HijackThis v1.99.1
Scan saved at 18:34:21, on 06.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Gibt es einen guten Grund dafür, dass dein System nicht uptodate ist?

Wäre es, hättest du dir wahrscheinlich ein Neuaufsetzen erspart:
Zitat:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
Das ist ein Backdoortrojaner, somit wird ein Neuaufsetzen unumgänglich.
Zumal du noch ne Menge anderen Kram aufm Rechner hast:
Zitat:
O4 - HKLM\..\Run: [xxndiag] C:\WINDOWS\tgt86.exe
O4 - HKLM\..\Run: [zxcdiag] C:\WINDOWS\System32\zxcconf.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - AppInit_DLLs: confxxn.dll e1.dll confzxc.dll zxcstat.dll
O20 - Winlogon Notify: xpspqdvd - C:\WINDOWS\System32\xpspqdvd.dll
O20 - Winlogon Notify: zxcmgr - C:\WINDOWS\SYSTEM32\zxcmgr32.dll
O23 - Service: SmartLinkService (SLService) - Unknown owner - C:\WINDOWS\SYSTEM32\slserv.exe
Damit du dich nicht so schnell wieder hier einfindest, würde ich vorschlagen, dass du nach dieser Anleitung neuaufsetzt: klick

Damit schließt du die größten Löcher in deinem System, bevor du online gehst.

lg myrtille

Antwort

Themen zu EmailWorm + Trojaner - was tun?
emailworm, frage, gen, infection, kurzem, meldungen, natürlich, program, system, system32, troja, trojaner, virus, was tun, was tun?, windows



Zum Thema EmailWorm + Trojaner - was tun? - Moin moin beisammen, Ich habe auf meinem pc seit kurzem wieder einen virus (oder 2 oder mehr) Die meldungen: C:\WINDOWS\System32\44201422ld.exe is a destructive program named W32/Trojan.AVKZ C:\WINDOWS\System32\confxxc.dll Infection: W32/EmailWorm.KGU C:\WINDOWS\System32\e1.dll - EmailWorm + Trojaner - was tun?...
Archiv
Du betrachtest: EmailWorm + Trojaner - was tun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.