Trojanisches Pferd

P

pepeNEU

New member
Hallo,

versuche seit längerem ein Trojansches Pferd loszuwerden.

Ich hab ja keine Ahnung... geholt hab ich mir den wohl im Internet.
Jetzt ist die Frage - wie werde ich den los ?

Ich kriege die message "RUNDLL - Fehler beim laden von... Modul wurde nicht gefunden"

AnitVir und SpyBot sagen mir, das sei HEUR/Malware. Beide können das aber nicht beheben :(

Die Namen sind
TR/Spy.VBStat.B.1 mit lrqvmuff.dll
und TR/Vunda.Gen mit pmnli.dll

Kann jemand helfen, was ich tun kann?
 
Hallo Pepe,

Bitte laden Sie das neue Detection Update herunter (02.02.2007):
http://www.safer-networking.org/en/download/index.html
Hier ist der direkte Link:
http://www.safer-networking.org/updates/files/spybotsd_includes.exe

Wenn dies Ihr Problem nicht loest, brauchen wir Ihren *vollstaendigen* Spybot-S&D-Systembericht, um das Problem aufzuspueren.
Bitte starten Sie Spybot-S&D und fuehren Sie eine Suche durch. Klicken Sie dann mit der rechten Maustaste in das Ergebnisfeld und waehlen Sie entweder "Kompletten Bericht in Datei speichern..." oder "Kompletten Bericht in die Zwischenablage kopieren", und fuegen Sie die Datei bzw. den Inhalt der Zwischenablage einer Mail an detections(at)spybot.info hinzu.
Wir werden versuchen, Ihr Problem zu lokalisieren und entdeckte Bedrohungen in das naechste Update mit aufzunehmen.
Bitte geben Sie als E-Mail Betreff "Forum Hilfe" an.

Mit freundlichen Grüssen
Sandra
Team Spybot
 
Wow! :eek: Das ist ja klasse!
Vielen Dank für die Mühe und Erklärung und natürlich die links - ich werde das sofort ausprobieren.

Melde mich hier nochmal.

:bigthumb:
 
So, hat leider nicht funktioniert. Habe das mail mit dem Bericht geschickt.



Der TR/Vundo.Gen bleibt

Es sind immer wieder 8 oder 9 Probleme bei Microsoft.Windows.Security.Center

c:WINNT/system32/pmnli.dll
wenn ich das versuche manuell zu löschen, sagt er er benutzt das

Im Internet geht automatisch kurz eine directory auf
c:/acdrv.exe
der curser bewegt sich wild, lesen kann man aber nichts
dann wirft der Drucker plötzlich leere Seiten aus

Er sagt mir zweimal "RUNDLL Fehler beim laden von... - Modul wurde nicht gefunden" - anklicken kann ich da nur "ok"
Für eine Weile kann ich dann arbeiten, muß aber nach einer Stunde neu hochfahren, weil keine links zum anklicken mehr funktionieren.

Leider weiß ich nicht, wie man mit der DOS Ebene umgeht (Windows 2000 im abgesicherten modus starten)
 
:bigthumb:

Ihr seid aber richtig KLASSE !

Vielen Dank für die schnelle Hilfe!!!
Der erste Schritt läuft schon, gleich schicke ich den Bericht...
Mal sehen, ob ich das heute abend noch alles hinkriege. Bis später.

Mit ganz lieben Grüßen!
 
Habe den VundoFix Bericht jetzt per email gesendet. Sind keine files übriggeblieben!

Und jetzt mache ich den log...
 
oh, sorry - ich hatte wie oben von Sandra angegeben die email benutzt...

Hier ist erstmal VundoFix:


VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 23:26:09 06.02.2007

Listing files found while scanning....

C:\WINNT\system32\awtstqo.dll
C:\WINNT\system32\awtuvur.dll
C:\WINNT\system32\byxurst.dll
C:\WINNT\system32\byxustu.dll
C:\WINNT\system32\byxuust.dll
C:\WINNT\system32\byxxyxv.dll
C:\WINNT\system32\byxyvwv.dll
C:\WINNT\system32\cbxusqp.dll
C:\WINNT\system32\cbxutrq.dll
C:\WINNT\system32\cbxvvtt.dll
C:\WINNT\system32\cbxxyaa.dll
C:\WINNT\system32\ddcawxy.dll
C:\WINNT\system32\ddccdda.dll
C:\WINNT\system32\ddcddaw.dll
C:\WINNT\system32\efcabxu.dll
C:\WINNT\system32\efcbccc.dll
C:\WINNT\system32\efcyyyy.dll
C:\WINNT\system32\ernywoip.dll
C:\WINNT\system32\fccbaxw.dll
C:\WINNT\system32\gebaxxu.dll
C:\WINNT\system32\hgggfcy.dll
C:\WINNT\system32\hgggfgd.dll
C:\WINNT\system32\iiffeec.dll
C:\WINNT\system32\ilnmp.bak1
C:\WINNT\system32\ilnmp.bak2
C:\WINNT\system32\ilnmp.ini
C:\WINNT\system32\jkkheca.dll
C:\WINNT\system32\khfeeed.dll
C:\WINNT\system32\khfffec.dll
C:\WINNT\system32\khfffgg.dll
C:\WINNT\system32\ljjgefc.dll
C:\WINNT\system32\ljjhfec.dll
C:\WINNT\system32\ljjhhij.dll
C:\WINNT\system32\ljjiigh.dll
C:\WINNT\system32\ljjjghi.dll
C:\WINNT\system32\ljjjige.dll
C:\WINNT\system32\mljigee.dll
C:\WINNT\system32\mljkihg.dll
C:\WINNT\system32\nnnlmnk.dll
C:\WINNT\system32\nnnmlji.dll
C:\WINNT\system32\nnnmmnm.dll
C:\WINNT\system32\nnnmnmm.dll
C:\WINNT\system32\nnnnkll.dll
C:\WINNT\system32\opnkhge.dll
C:\WINNT\system32\opnkjhe.dll
C:\WINNT\system32\opnkjjk.dll
C:\WINNT\system32\opnmjii.dll
C:\WINNT\system32\opnnonl.dll
C:\WINNT\system32\opnooon.dll
C:\WINNT\system32\pmnli.dll
C:\WINNT\system32\pmnnlig.dll
C:\WINNT\system32\qomjife.dll
C:\WINNT\system32\qomjijh.dll
C:\WINNT\system32\qomkljh.dll
C:\WINNT\system32\qomljij.dll
C:\WINNT\system32\qommkkj.dll
C:\WINNT\system32\qomnnml.dll
C:\WINNT\system32\rqrolig.dll
C:\WINNT\system32\rqrponm.dll
C:\WINNT\system32\rqrqnop.dll
C:\WINNT\system32\rqrrsqp.dll
C:\WINNT\system32\rqrsqpn.dll
C:\WINNT\system32\ssqnlmk.dll
C:\WINNT\system32\ssqnnmn.dll
C:\WINNT\system32\ssqnopn.dll
C:\WINNT\system32\ssqpmjk.dll
C:\WINNT\system32\ssqpmlk.dll
C:\WINNT\system32\ssqpmml.dll
C:\WINNT\system32\tuvssqo.dll
C:\WINNT\system32\tuvtqnm.dll
C:\WINNT\system32\tuvuvuu.dll
C:\WINNT\system32\tuvvspm.dll
C:\WINNT\system32\urqoonn.dll
C:\WINNT\system32\urqppop.dll
C:\WINNT\system32\urqppqp.dll
C:\WINNT\system32\urqqpmj.dll
C:\WINNT\system32\urqqpnl.dll
C:\WINNT\system32\urqqrrr.dll
C:\WINNT\system32\urqrqon.dll
C:\WINNT\system32\vtutqqr.dll
C:\WINNT\system32\wvurpmn.dll
C:\WINNT\system32\wvusrpp.dll
C:\WINNT\system32\wvutsqn.dll
C:\WINNT\system32\wvutuvw.dll
C:\WINNT\system32\wvuusqo.dll
C:\WINNT\system32\wvuuvsr.dll
C:\WINNT\system32\xxywtro.dll
C:\WINNT\system32\xxyyvwx.dll
C:\WINNT\system32\xxyyxwt.dll
C:\WINNT\system32\yayaxvs.dll
C:\WINNT\system32\yayxuss.dll

Beginning removal...

Attempting to delete C:\WINNT\system32\awtstqo.dll
C:\WINNT\system32\awtstqo.dll Has been deleted!

Attempting to delete C:\WINNT\system32\awtuvur.dll
C:\WINNT\system32\awtuvur.dll Has been deleted!

Attempting to delete C:\WINNT\system32\byxurst.dll
C:\WINNT\system32\byxurst.dll Has been deleted!

Attempting to delete C:\WINNT\system32\byxustu.dll
C:\WINNT\system32\byxustu.dll Has been deleted!

Attempting to delete C:\WINNT\system32\byxuust.dll
C:\WINNT\system32\byxuust.dll Has been deleted!

Attempting to delete C:\WINNT\system32\byxxyxv.dll
C:\WINNT\system32\byxxyxv.dll Has been deleted!

Attempting to delete C:\WINNT\system32\byxyvwv.dll
C:\WINNT\system32\byxyvwv.dll Has been deleted!

Attempting to delete C:\WINNT\system32\cbxusqp.dll
C:\WINNT\system32\cbxusqp.dll Has been deleted!

Attempting to delete C:\WINNT\system32\cbxutrq.dll
C:\WINNT\system32\cbxutrq.dll Has been deleted!

Attempting to delete C:\WINNT\system32\cbxvvtt.dll
C:\WINNT\system32\cbxvvtt.dll Has been deleted!

Attempting to delete C:\WINNT\system32\cbxxyaa.dll
C:\WINNT\system32\cbxxyaa.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ddcawxy.dll
C:\WINNT\system32\ddcawxy.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ddccdda.dll
C:\WINNT\system32\ddccdda.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ddcddaw.dll
C:\WINNT\system32\ddcddaw.dll Has been deleted!

Attempting to delete C:\WINNT\system32\efcabxu.dll
C:\WINNT\system32\efcabxu.dll Has been deleted!

Attempting to delete C:\WINNT\system32\efcbccc.dll
C:\WINNT\system32\efcbccc.dll Has been deleted!

Attempting to delete C:\WINNT\system32\efcyyyy.dll
C:\WINNT\system32\efcyyyy.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ernywoip.dll
C:\WINNT\system32\ernywoip.dll Has been deleted!

Attempting to delete C:\WINNT\system32\fccbaxw.dll
C:\WINNT\system32\fccbaxw.dll Has been deleted!

Attempting to delete C:\WINNT\system32\gebaxxu.dll
C:\WINNT\system32\gebaxxu.dll Has been deleted!

Attempting to delete C:\WINNT\system32\hgggfcy.dll
C:\WINNT\system32\hgggfcy.dll Has been deleted!

Attempting to delete C:\WINNT\system32\hgggfgd.dll
C:\WINNT\system32\hgggfgd.dll Has been deleted!

Attempting to delete C:\WINNT\system32\iiffeec.dll
C:\WINNT\system32\iiffeec.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ilnmp.bak1
C:\WINNT\system32\ilnmp.bak1 Has been deleted!

Attempting to delete C:\WINNT\system32\ilnmp.bak2
C:\WINNT\system32\ilnmp.bak2 Has been deleted!

Attempting to delete C:\WINNT\system32\ilnmp.ini
C:\WINNT\system32\ilnmp.ini Has been deleted!

Attempting to delete C:\WINNT\system32\jkkheca.dll
C:\WINNT\system32\jkkheca.dll Has been deleted!

Attempting to delete C:\WINNT\system32\khfeeed.dll
C:\WINNT\system32\khfeeed.dll Has been deleted!

Attempting to delete C:\WINNT\system32\khfffec.dll
C:\WINNT\system32\khfffec.dll Has been deleted!

Attempting to delete C:\WINNT\system32\khfffgg.dll
C:\WINNT\system32\khfffgg.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ljjgefc.dll
C:\WINNT\system32\ljjgefc.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ljjhfec.dll
C:\WINNT\system32\ljjhfec.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ljjhhij.dll
C:\WINNT\system32\ljjhhij.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ljjiigh.dll
C:\WINNT\system32\ljjiigh.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ljjjghi.dll
C:\WINNT\system32\ljjjghi.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ljjjige.dll
C:\WINNT\system32\ljjjige.dll Has been deleted!

Attempting to delete C:\WINNT\system32\mljigee.dll
C:\WINNT\system32\mljigee.dll Has been deleted!

Attempting to delete C:\WINNT\system32\mljkihg.dll
C:\WINNT\system32\mljkihg.dll Has been deleted!

Attempting to delete C:\WINNT\system32\nnnlmnk.dll
C:\WINNT\system32\nnnlmnk.dll Has been deleted!

Attempting to delete C:\WINNT\system32\nnnmlji.dll
C:\WINNT\system32\nnnmlji.dll Has been deleted!

Attempting to delete C:\WINNT\system32\nnnmmnm.dll
C:\WINNT\system32\nnnmmnm.dll Has been deleted!

Attempting to delete C:\WINNT\system32\nnnmnmm.dll
C:\WINNT\system32\nnnmnmm.dll Has been deleted!

Attempting to delete C:\WINNT\system32\nnnnkll.dll
C:\WINNT\system32\nnnnkll.dll Has been deleted!

Attempting to delete C:\WINNT\system32\opnkhge.dll
C:\WINNT\system32\opnkhge.dll Has been deleted!

Attempting to delete C:\WINNT\system32\opnkjhe.dll
C:\WINNT\system32\opnkjhe.dll Has been deleted!

Attempting to delete C:\WINNT\system32\opnkjjk.dll
C:\WINNT\system32\opnkjjk.dll Has been deleted!

Attempting to delete C:\WINNT\system32\opnmjii.dll
C:\WINNT\system32\opnmjii.dll Has been deleted!

Attempting to delete C:\WINNT\system32\opnnonl.dll
C:\WINNT\system32\opnnonl.dll Has been deleted!

Attempting to delete C:\WINNT\system32\opnooon.dll
C:\WINNT\system32\opnooon.dll Has been deleted!

Attempting to delete C:\WINNT\system32\pmnli.dll
C:\WINNT\system32\pmnli.dll Could not be deleted.

Attempting to delete C:\WINNT\system32\pmnnlig.dll
C:\WINNT\system32\pmnnlig.dll Has been deleted!

Attempting to delete C:\WINNT\system32\qomjife.dll
C:\WINNT\system32\qomjife.dll Has been deleted!

Attempting to delete C:\WINNT\system32\qomjijh.dll
C:\WINNT\system32\qomjijh.dll Has been deleted!

Attempting to delete C:\WINNT\system32\qomkljh.dll
C:\WINNT\system32\qomkljh.dll Has been deleted!

Attempting to delete C:\WINNT\system32\qomljij.dll
C:\WINNT\system32\qomljij.dll Has been deleted!

Attempting to delete C:\WINNT\system32\qommkkj.dll
C:\WINNT\system32\qommkkj.dll Has been deleted!

Attempting to delete C:\WINNT\system32\qomnnml.dll
C:\WINNT\system32\qomnnml.dll Has been deleted!

Attempting to delete C:\WINNT\system32\rqrolig.dll
C:\WINNT\system32\rqrolig.dll Has been deleted!

Attempting to delete C:\WINNT\system32\rqrponm.dll
C:\WINNT\system32\rqrponm.dll Has been deleted!

Attempting to delete C:\WINNT\system32\rqrqnop.dll
C:\WINNT\system32\rqrqnop.dll Has been deleted!

Attempting to delete C:\WINNT\system32\rqrrsqp.dll
C:\WINNT\system32\rqrrsqp.dll Has been deleted!

Attempting to delete C:\WINNT\system32\rqrsqpn.dll
C:\WINNT\system32\rqrsqpn.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ssqnlmk.dll
C:\WINNT\system32\ssqnlmk.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ssqnnmn.dll
C:\WINNT\system32\ssqnnmn.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ssqnopn.dll
C:\WINNT\system32\ssqnopn.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ssqpmjk.dll
C:\WINNT\system32\ssqpmjk.dll Has been deleted!

Attempting to delete C:\WINNT\system32\ssqpmlk.dll
C:\WINNT\system32\ssqpmlk.dll Could not be deleted.

Attempting to delete C:\WINNT\system32\ssqpmml.dll
C:\WINNT\system32\ssqpmml.dll Has been deleted!

Attempting to delete C:\WINNT\system32\tuvssqo.dll
C:\WINNT\system32\tuvssqo.dll Has been deleted!

Attempting to delete C:\WINNT\system32\tuvtqnm.dll
C:\WINNT\system32\tuvtqnm.dll Has been deleted!

Attempting to delete C:\WINNT\system32\tuvuvuu.dll
C:\WINNT\system32\tuvuvuu.dll Has been deleted!

Attempting to delete C:\WINNT\system32\tuvvspm.dll
C:\WINNT\system32\tuvvspm.dll Has been deleted!

Attempting to delete C:\WINNT\system32\urqoonn.dll
C:\WINNT\system32\urqoonn.dll Has been deleted!

Attempting to delete C:\WINNT\system32\urqppop.dll
C:\WINNT\system32\urqppop.dll Has been deleted!

Attempting to delete C:\WINNT\system32\urqppqp.dll
C:\WINNT\system32\urqppqp.dll Has been deleted!

Attempting to delete C:\WINNT\system32\urqqpmj.dll
C:\WINNT\system32\urqqpmj.dll Could not be deleted.

Attempting to delete C:\WINNT\system32\urqqpnl.dll
C:\WINNT\system32\urqqpnl.dll Has been deleted!

Attempting to delete C:\WINNT\system32\urqqrrr.dll
C:\WINNT\system32\urqqrrr.dll Has been deleted!

Attempting to delete C:\WINNT\system32\urqrqon.dll
C:\WINNT\system32\urqrqon.dll Has been deleted!

Attempting to delete C:\WINNT\system32\vtutqqr.dll
C:\WINNT\system32\vtutqqr.dll Has been deleted!

Attempting to delete C:\WINNT\system32\wvurpmn.dll
C:\WINNT\system32\wvurpmn.dll Has been deleted!

Attempting to delete C:\WINNT\system32\wvusrpp.dll
C:\WINNT\system32\wvusrpp.dll Has been deleted!

Attempting to delete C:\WINNT\system32\wvutsqn.dll
C:\WINNT\system32\wvutsqn.dll Has been deleted!

Attempting to delete C:\WINNT\system32\wvutuvw.dll
C:\WINNT\system32\wvutuvw.dll Has been deleted!

Attempting to delete C:\WINNT\system32\wvuusqo.dll
C:\WINNT\system32\wvuusqo.dll Has been deleted!

Attempting to delete C:\WINNT\system32\wvuuvsr.dll
C:\WINNT\system32\wvuuvsr.dll Has been deleted!

Attempting to delete C:\WINNT\system32\xxywtro.dll
C:\WINNT\system32\xxywtro.dll Has been deleted!

Attempting to delete C:\WINNT\system32\xxyyvwx.dll
C:\WINNT\system32\xxyyvwx.dll Has been deleted!

Attempting to delete C:\WINNT\system32\xxyyxwt.dll
C:\WINNT\system32\xxyyxwt.dll Has been deleted!

Attempting to delete C:\WINNT\system32\yayaxvs.dll
C:\WINNT\system32\yayaxvs.dll Has been deleted!

Attempting to delete C:\WINNT\system32\yayxuss.dll
C:\WINNT\system32\yayxuss.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINNT\system32\ilnmp.ini
C:\WINNT\system32\ilnmp.ini Has been deleted!

Attempting to delete C:\WINNT\system32\pmnli.dll
C:\WINNT\system32\pmnli.dll Could not be deleted.

Attempting to delete C:\WINNT\system32\ssqpmlk.dll
C:\WINNT\system32\ssqpmlk.dll Could not be deleted.

Attempting to delete C:\WINNT\system32\urqqpmj.dll
C:\WINNT\system32\urqqpmj.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 01:09:22 07.02.2007

Listing files found while scanning....

C:\WINNT\system32\ernywoip.dll
C:\WINNT\system32\ilnmp.ini
C:\WINNT\system32\pmnli.dll
C:\WINNT\system32\ssqpmlk.dll

Beginning removal...

Attempting to delete C:\WINNT\system32\ilnmp.ini
C:\WINNT\system32\ilnmp.ini Has been deleted!

Attempting to delete C:\WINNT\system32\pmnli.dll
C:\WINNT\system32\pmnli.dll Could not be deleted.

Attempting to delete C:\WINNT\system32\ssqpmlk.dll
C:\WINNT\system32\ssqpmlk.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINNT\system32\ilnmp.ini
C:\WINNT\system32\ilnmp.ini Has been deleted!

Attempting to delete C:\WINNT\system32\pmnli.dll
C:\WINNT\system32\pmnli.dll Could not be deleted.

Attempting to delete C:\WINNT\system32\ssqpmlk.dll
C:\WINNT\system32\ssqpmlk.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...
 
Fehlermeldung beim Start von HJT:
Bei 'Do a system scan and save a log file' Abbruch – die HijackThis.exe hat einen Fehler verursacht !

Ich weiß leider nicht, wie ich die Dateiendung "exe" durch "com" ersetzen kann.

Hier der Bericht:


Logfile of HijackThis v1.99.1
Scan saved at 17:50:08, on 07.02.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINNT\system32\drivers\dcfssvc.exe
C:\WINNT\system32\spoolvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Secretmaker\secretmaker.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ProfileWatcher] C:\Programme\ProfileWatcher\profilewatcher.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Update] Windowsupfixer.exe
O4 - HKLM\..\RunServices: [Windows Update] Windowsupfixer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SECRETMAKER.lnk = C:\Programme\Secretmaker\secretmaker.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O10 - Broken Internet access because of LSP provider 'smnsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINNT\system32\drivers\dcfssvc.exe
O23 - Service: Debug System Manager - Unknown owner - C:\WINNT\system32\spoolvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ptssvc - KODAK - C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
O23 - Service: Remote Access Manager - Unknown owner - C:\WINNT\system32\vcmon.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
 
Du hast zumindest noch ein Problem und zwar C:\WINNT\system32\spoolvc.exe
teste diese Datei bitte hier und kopiere das Ergebniss hier hinein
http://www.virustotal.com/en/indexf.html

Du solltest dann mit Hilfe von Hijackthsi folgendes fixen(anhaken und fix checked druecken)

O4 - HKLM\..\Run: [Windows Update] Windowsupfixer.exe
O4 - HKLM\..\RunServices: [Windows Update] Windowsupfixer.exe
O23 - Service: Debug System Manager - Unknown owner - C:\WINNT\system32\spoolvc.exe
O23 - Service: Remote Access Manager - Unknown owner - C:\WINNT\system32\vcmon.exe (file missing)

Schau, ob du auch noch diese Datei finden kannst: c:\windows\system32\Windowsupfixer.exe
 
Bei virustotal habe ich folgenden Bericht erhalten:

Your file "spoolvc.exe" is queued in position: 14. Estimated start time is between 163 and 233 seconds.


Auf mein email an das team spybot habe ich von Norma die Aufgabenstellung bekommen, einige dll Dateien mit Killbox zu löschen. Das ging nicht - er sagt "pending file rename operations registry data has been removed by external process".

Jetzt versuche ich den hijack fix wie beschrieben. Bis später.
Und wie immer mit großem Dank und vielen lieben Grüßen!
 
pepeNEU said:
Bei virustotal habe ich folgenden Bericht erhalten:

Your file "spoolvc.exe" is queued in position: 14. Estimated start time is between 163 and 233 seconds.
Click to expand...


Das bedeutet soviel, das der Scan erst in den angegebenen anzahl an Sekunden angefangen waere. Schick sie einfach mal an virus@protecus.de


[QUOTEer sagt "pending file rename operations registry data has been removed by external process". [/QUOTE]

Ja, killbox funktioniert hier nicht, da Vundo das blockiert. Obwohl nun Vundo ja eigentlich weg sein sollte!?
 
:oops:

sorry, ich mache das gleich nochmal...

Hier aber erstmal der neue Bericht von HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 22:11:10, on 08.02.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINNT\system32\drivers\dcfssvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Secretmaker\secretmaker.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {481E7983-1F2B-4250-951A-44E0902DF978} - C:\WINNT\system32\ssqpmlk.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50} - C:\WINNT\system32\ernywoip.dll (file missing)
O2 - BHO: (no name) - {8DFF48DD-82C4-4EED-9519-5576023AA08A} - C:\WINNT\system32\pmnli.dll (file missing)
O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINNT\system32\smiehlp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ProfileWatcher] C:\Programme\ProfileWatcher\profilewatcher.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SECRETMAKER.lnk = C:\Programme\Secretmaker\secretmaker.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O10 - Broken Internet access because of LSP provider 'smnsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINNT\system32\drivers\dcfssvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ptssvc - KODAK - C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
 
Das sieht so relativ sauber aus. Diese Dinge musst du noch fgixen(anhaken + fix checked druecken). Dabei muessen alle Internetr Explorerfenster geschlosen sein!
O2 - BHO: (no name) - {481E7983-1F2B-4250-951A-44E0902DF978} - C:\WINNT\system32\ssqpmlk.dll (file missing)
O2 - BHO: (no name) - {68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50} - C:\WINNT\system32\ernywoip.dll (file missing)
O2 - BHO: (no name) - {8DFF48DD-82C4-4EED-9519-5576023AA08A} - C:\WINNT\system32\pmnli.dll (file missing)

Achso ein Kontrollscan mit Drwebcureit waere nicht schlecht: http://freedrweb.com/?lng=de

und.... Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://board.protecus.de/t23979.htm und mache nochmal einen scan.
 
Spybot sagte, bevor ich die oben genannten files gefixt habe mit HiJackThis:

Er hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde.
Kategorie: System Startup Global Entry
Änderung: Wert gelöscht
Eintrag: Windows Update
Alte Daten: windowsupfixer.exe



Die windowsupfixer.exe hatte ich nicht zum "fix checked" gefunden.


Der Spybot hatte sich vorher schonmals gemeldet und irgendwie Register Änderungen verhindert/verweigert. Da kam dann jedesmal soein kleiner gelber sticker, der aber nach ein paar Sekunden selber verschwand... Das war - glaube ich - während des VundoFix.

Außerdem: als ich nach der Aktion letzes mal wieder ins internet kam, um hier zu berichten, hatte ich wieder dieses mysteriöse Druckerproblem, wo dann eine directory selbständig aufgeht (c/acdrv.exe) !
AntiVir spielte total verrückt danach - ich mußte ganz oft (sehr oft) immer wieder anklicken, damit das fixiert wurde. Um überhaupt weiterarbeiten zu können, habe ich AntiVir deaktiviert. (Deshalb hat das so lange gedauert, bis ich mich wieder melden konnte - mußte erstmal rausfinden wie das geht) Ich glaube, danach hab ich aber offline VundoFix und Spybot nochmal laufen lassen... Er hatte wieder Advertisingcom, MediaPlex, Tradedoubler und diese verschiedenen Sachen vom MicrosoftWindows SecurityCenter - wie vorher schon.

AntiVir sagte mir ganz oft
TR/FWDisable. (und eine Zahl)
WORM/Sdbot. (und eine Zahl . und noch eine Zahl)
TR/Agent.ACL

(sowas kritzel ich immer aufm zettel schnell mit)

Ich war der Meinung, AntiVir hatte das abgehalten? Auch Spybot meldete sich...
Vielleicht gehe ich besser offline alles nochmal komplett durch ???

Diesmal hatte ich jedenfalls online solche Probleme nicht mehr. AnitVir hat sich erst zweimal oder so gemeldet heute. Dafür ist das System auffällig langsam.
 
Hier der Bericht von Virustotal

Complete scanning result of "spoolvc.exe", received in VirusTotal at 02.08.2007, 22:57:47 (CET).
Antivirus Version Update Result
AntiVir 7.3.1.34 02.08.2007 HEUR/Crypted
Authentium 4.93.8 02.08.2007 no virus found
Avast 4.7.936.0 02.08.2007 Win32:SdBot-gen42
AVG 386 02.08.2007 no virus found
BitDefender 7.2 02.08.2007 Backdoor.Sdbot.W
CAT-QuickHeal 9.00 02.08.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 02.08.2007 no virus found
DrWeb 4.33 02.08.2007 Win32.HLLW.MyBot.based
eSafe 7.0.14.0 02.08.2007 Win32.Polipos.sus
eTrust-InoculateIT 30.4.3378 02.08.2007 no virus found
eTrust-Vet 30.4.3378 02.08.2007 no virus found
Ewido 4.0 02.08.2007 no virus found
Fortinet 2.85.0.0 02.08.2007 suspicious
F-Prot 4.2.1.29 02.08.2007 generic
F-Secure 6.70.13030.0 02.08.2007 Backdoor.Win32.SdBot.aad
Ikarus T3.1.0.31 02.08.2007 Backdoor.Win32.SdBot.aad
Kaspersky 4.0.2.24 02.08.2007 Backdoor.Win32.SdBot.aad
McAfee 4959 02.08.2007 no virus found
Microsoft 1.2101 02.08.2007 Exploit:Win32/Lsass.gen
NOD32v2 2046 02.08.2007 a variant of IRC/SdBot
Norman 5.80.02 02.08.2007 W32/Kut.gen1
Panda 9.0.0.4 02.08.2007 no virus found
Prevx1 V2 02.08.2007 Worm.Ircbot.Gen
Sophos 4.13.0 02.08.2007 no virus found
Sunbelt 2.2.907.0 02.02.2007 VIPRE.Suspicious
Symantec 10 02.08.2007 no virus found
TheHacker 6.1.6.053 02.07.2007 W32/Bagle.gen@MM
UNA 1.83 02.08.2007 no virus found
VBA32 3.11.2 02.08.2007 Win32.HLLW.MyBot.based
VirusBuster 4.3.19:9 02.08.2007 no virus found
Aditional Information
File size: 48128 bytes
MD5: 58b66a38bd2e305589a9ff6e8041cfbe
SHA1: 00558d9ef2c85440cc7de9a343c2ed60361676ad
packers: BAMBAM, PEPACK
packers: PE-Pack, Aspack
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=a4ab76482608
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
 
:bigthumb:

So, jetzt mache ich noch die O2 – BHOs und die scans wie oben beschrieben.
Mache ich dann offline.

:alien:
 
You must log in or register to reply here.
Back
Top