Trojaner-Board - Zwei Trojaner die sich nicht löschen lassen wollen ...??

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Zwei Trojaner die sich nicht löschen lassen wollen ...?? (https://www.trojaner-board.de/56053-zwei-trojaner-loeschen-lassen-wollen.html)

Zwei Trojaner die sich nicht löschen lassen wollen ...??

Hey, hier also mein Problem:
Jedesmal wenn ich den PC starte meldet sich AntiVir mit dieser Meldung

Es wurde ein Trojanisches Pferd gefunden:
C:/Windows/system32/yayvSmmn.dll
TR/Monderb.33664 und
TR/Monderb.321792.

Beide lassen sich nicht löschen und fast jedesmal wenn ich eine neue Seite öffne erscheint die Warnung von neuem.

Wees nicht wirklich weiter.
Hoffe jemand kann mir helfen, mein Dank im Vorraus.

Hi und :hallo:

Bitte gib uns den genauen Pfad beider Dateien an:daumenhoc
Bitte erstelle mit Hijackthis Logfile und poste es hier:daumenhoc

So, erstmal der Pfad:

C:/windows/system32/yayvSmmn.dll

Mit dem HighJack hab ich Probleme. Er sagt mir immerwieder, dass auf den entsprechenden Pfad zum ausführen der Datei nicht zurückgegriffen werden kann.

Hier mal was AVIR dazu gesagt hat(hab nur mal die system32-Datei durchsuchen lassen):

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 16. Juli 2008 16:01

Es wird nach 1458293 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Sunny
Computername: SOLVEIG

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 19:22:28
ANTIVIR2.VDF : 7.0.5.119 1264128 Bytes 15.07.2008 04:28:09
ANTIVIR3.VDF : 7.0.5.125 57856 Bytes 16.07.2008 13:05:02
Engineversion : 8.1.0.68
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.53 303481 Bytes 16.07.2008 04:28:16
AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 04:28:16
AERDL.DLL : 8.1.0.20 418165 Bytes 12.07.2008 19:24:45
AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 04:28:15
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 12.07.2008 19:24:42
AEHEUR.DLL : 8.1.0.41 1339765 Bytes 16.07.2008 04:28:14
AEHELP.DLL : 8.1.0.15 115063 Bytes 12.07.2008 19:24:37
AEGEN.DLL : 8.1.0.29 307573 Bytes 12.07.2008 19:24:36
AEEMU.DLL : 8.1.0.6 430451 Bytes 12.07.2008 19:23:59
AECORE.DLL : 8.1.0.33 168311 Bytes 16.07.2008 04:28:13
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOKUME~1\Sunny\LOKALE~1\Temp\32109e83.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 16. Juli 2008 16:01

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\rjfjmpwb.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG]
C:\WINDOWS\system32\tuvVNHyx.dll
[FUND] Ist das Trojanische Pferd TR/Monderb.321792
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG]
C:\WINDOWS\system32\yayvSmmn.dll
[FUND] Ist das Trojanische Pferd TR/Monderb.33664
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG]

Ende des Suchlaufs: Mittwoch, 16. Juli 2008 16:03
Benötigte Zeit: 02:22 min

Der Suchlauf wurde vollständig durchgeführt.

224 Verzeichnisse wurden überprüft
4298 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
4295 Dateien ohne Befall
10 Archive wurden durchsucht
3 Warnungen
0 Hinweise

Mhm...
Lösche lade Hijackthis neu herunter und speichere es in einem Ordner auf dem desktop:daumenhoc Bevor du startest, bennst du es in this.exe um und versuchst es nochmals.

Bitte lass Malwarebytes laufen, lass alles löschen was er findet und poste das Log:daumenhoc

Entschuldige, aber deine Satzbauweise ist mnir zu schnell, ich verstehe es nicht. Technisch, wie gramatikalisch.

Kann nur raten: Ich soll HiJack runterladen, den ordner umbenennen und es dann instalieren?

Wenn HiJack durchgelaufen ist, soll ich Malwarebytes laufen lassen?

So richtig?

Ich habs versucht:

HiJack sagt:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:40:58, on 16.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/resetpw.srf?lc=1031
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [dce93e9d] rundll32.exe "C:\WINDOWS\system32\rjfjmpwb.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4695 bytes

So hier der ScanBericht von Malwarebyte:

Zitat:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 960
Windows 5.1.2600 Service Pack 3

23:44:55 16.07.2008
mbam-log-7-16-2008 (23-44-55).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 73852
Scan Dauer: 22 minute(s), 0 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\tuvVNHyx.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\yayvSmmn.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{35d0e227-dd1d-45f1-ad5a-b26ec5b595b9} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{35d0e227-dd1d-45f1-ad5a-b26ec5b595b9} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{43fcd2cf-5569-4208-97d2-52748e0ef6a0} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{43fcd2cf-5569-4208-97d2-52748e0ef6a0} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayvsmmn (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{43fcd2cf-5569-4208-97d2-52748e0ef6a0} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dce93e9d (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\tuvvnhyx -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\tuvvnhyx -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\tuvVNHyx.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\xyHNVvut.ini (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\xyHNVvut.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yayvSmmn.dll (Trojan.Vundo) -> Delete on reboot.
C:\Dokumente und Einstellungen\Sunny\Lokale Einstellungen\Temp\dssc32.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{EEE52B48-4066-46FD-8A0B-9E9489D525E1}\RP15\A0008130.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Sunny\Lokale Einstellungen\Temp\software.php (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Da anfängliche Problem* ist aber nocht nicht behoben. Hoffe, ihr könnt mir helfen. Zumal ich wirklich keine Ahnung hab.

*diese beiden hier:

Zitat:

Infizierte Speicher Module:
C:\WINDOWS\system32\tuvVNHyx.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\yayvSmmn.dll (Trojan.Vundo) -> Unloaded module successfully.

Zitat:

Zitat von Alessa666 (Beitrag 354827)

Kann nur raten: Ich soll HiJack runterladen, den ordner umbenennen und es dann instalieren?
Wenn HiJack durchgelaufen ist, soll ich Malwarebytes laufen lassen?
So richtig?

Du hast alles richtig gemacht:daumenhoc
Nun hast du einen Reboot nach Malwarebytes gemacht?
Denn diese zwei hier:

Zitat:

C:\WINDOWS\system32\tuvVNHyx.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\yayvSmmn.dll (Trojan.Vundo) -> Delete on reboot.

Sollten nach dem Reboot nicht mehr gemeldet werden:daumenhoc
Zur Sicherheit lädst du dir nun The Avenger (Link ist in meiner Signatur zu finden)
-Speicherst es auf dem Desktop
-Startest The Avenger
-Im weissen grossen feld gibst du folgendes ein:

Zitat:

files to delete:
C:\WINDOWS\system32\tuvVNHyx.dll
C:\WINDOWS\system32\yayvSmmn.dll
C:\WINDOWS\system32\xyHNVvut.ini
C:\WINDOWS\system32\rjfjmpwb.dll

-nun solltest du gefragt werden (nachdem er das Script ausgeführt hat) ob du einen reboot machen möchtest, was du mit ja beantwortest:daumenhoc
-nach dem reboot wird eine text Datei geöffnet und dessen Inhalt sollest du hier posten:daumenhoc
-ansonsten ist die text datei auch unter C:\Avenger zu finden

Zum Schluss postest du bitte nochmals ein frisches Hijackthis Logfile:daumenhoc