Konfiguration für den aktuellen Suchlauf: Job Name.........................: ShlExt Konfigurationsdatei..............: C:\DOKUME~1\EmiN\LOKALE~1\Temp\8a661b7b.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: aus Durchsuche Registrierung.........: aus Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel
Beginn des Suchlaufs: Freitag, 27. April 2007 23:18
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\WINDOWS\system32' C:\WINDOWS\system32\vtsqp.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003 [WARNUNG] Die Datei konnte nicht gelöscht werden! C:\WINDOWS\system32\drivers\dtscsi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden!
Ende des Suchlaufs: Freitag, 27. April 2007 23:20 Benötigte Zeit: 02:05 min
Der Suchlauf wurde vollständig durchgeführt.
220 Verzeichnisse wurden überprüft 4157 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 davon wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 4156 Dateien ohne Befall 6 Archive wurden durchsucht 3 Warnungen 0 Hinweise 0 Versteckte Objekte wurden gefunden
diesen einen Virus bekomme ich irgendwie nicht weg und immer mehr neue kommen hin zu kann mir vielleicht jemand weiterhelfen.... Ich bedanke mich im voraus !!!
Hallo kingbozz, mit dem Tool “The Avenger“ kann die Datei, die für die Infektion verantwortlich ist, manuell gelöscht werden. Eine gute Anleitung zum Tool und einen Downloadlink findet man hier: http://virus-protect.org/artikel/tools/avenger.html
***Diese Zeile nicht mitkopieren!*** Files to delete: C:\WINDOWS\system32\vtsqp.dll ***Diese Zeile nicht mitkopieren!***
Lösche danach bitte deinen Browser-Cache und alle sonstigen Temporären Dateien, ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner, http://www.ccleaner.com/ccdownload.asp und führe den Befehl Cleaner aus.
Scanne anschließend deinen PC mit dem F-Secure Online Scanner http://support.f-secure.de/ger/home/ols.shtml (Einige wenige Teile der Software sind in Englisch) Wähle die Option “Vollständiger Systemscan“ Poste den Scan Bericht hier!
Weiter führe einen HijackThis-Log zu Informationszwecken aus. Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und kann das eine oder andere Problem auch lösen. Hier der Link zu dem Tool http://www.hijackthis.de/ und folge den Anweisungen und poste den Log. Downloadlink zum Tool http://www.mmdirect.de/downloads/hijackthis_199.zip
Ich hatte das gleiche Problem mit dem Trojaner als Datei im Windows-Ordner system32. Die Lösung mit Avenger ist simpel und hat super funktioniert bei mir.
Ich wollt mal freagen ob mir mal jemand sagen kann was ich in den skript reinschreiben soll so das ich die datei "iifgfdc.dll" wegbekomme. irgendwie versteh ich das nicht so recht. schon mal danke im vorraus
Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: E:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: mittel
Beginn des Suchlaufs: Mittwoch, 2. Mai 2007 14:21
Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'devldr32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehRec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '26' Prozesse mit '26' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'A:\' [HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '16' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\nnnom.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003 [WARNUNG] Die Datei konnte nicht gelöscht werden! Beginne mit der Suche in 'A:\' Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit.
Beginne mit der Suche in 'D:\' Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit.
Ende des Suchlaufs: Mittwoch, 2. Mai 2007 14:38 Benötigte Zeit: 17:50 min
Der Suchlauf wurde vollständig durchgeführt.
2476 Verzeichnisse wurden überprüft 83332 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 davon wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 83331 Dateien ohne Befall 629 Archive wurden durchsucht 3 Warnungen 34 Hinweise 0 Versteckte Objekte wurden gefunden
danach hab ich den ccleaner benutzt, der hat mir ca 150mb gelöscht. auch dazu gibt es einen bericht, der allerdings seeehr lang ist - soll ich den auch hier reinkopieren?
den online scan konnte ich nicht machen, klappt wohl mit dem Firefox nicht...
allerdings taucht mir immer noch diese meldung auf, das der trojaner noch da ist - die gleiche datei, die ich doch eigentlich über den avenger gelöscht hab?!?
irgendwie komm ich nich weiter, bin für jede hilfe dankbar.
- Avenger hat die Datei zwar gelöscht, aber Hintergrund läuft ein Prozess der sie wieder neu erstellt! - F-Secure Online Scanner läuft nur über IE von Microsoft, rufe die Webseite über ihn auf ! - Was meldet AntiVir und wo, bitte posten. - Der Bericht von CCleaner wird nicht benötigt ! - Erstelle noch den HijackThis-Log - Ist dein Windows XP eine Raubkopie?
-der f-secure-scan mit dem ie läuft gerade, ist bei 13 viren bisher... -nach dem neustart durch avenger kam beim antivir die gleiche meldung wie bisher, nnnom.dll wäre der trojaner tr/vundo.gen -hijack-log folgt...
Logfile of HijackThis v1.99.1 Scan saved at 20:26:44, on 02.05.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Klaus, deinen PC geht es wicklich nicht Gut. Ob hier eine Not-OP noch hilft? Oder anders gesagt, das ist ein Totalschaden!
Wie langschlaefer sagte, fixe diese Einträge aus dem Logfile of HijackThis. Meine Liste ist um paar Einträge ergänzt. Achtung! Es ist möglich das Windows danach nicht mehr bootet, weil Malware die Windowsinstalltion erheblich verändert hat.
O2 - BHO: (no name) - {0C9E9415-21B3-4DE5-915E-3A2A76DB2EA7} - (no file) O2 - BHO: (no name) - {0E7AB073-831D-4D32-9475-3070BD8D65C2} - (no file) O2 - BHO: (no name) - {179CC211-4B77-4912-AB15-0C7E9166DEB8} - (no file) O2 - BHO: (no name) - {1B81D81A-E422-49B4-A582-DB44A76A799D} - (no file) O2 - BHO: (no name) - {1D2E4D9D-9FF1-415E-B463-1353688BCF5D} - (no file) O2 - BHO: (no name) - {1E4A752C-2DBA-4C95-AB5A-DA0F15796B1A} - (no file) O2 - BHO: (no name) - {21680F2C-D0C0-40F1-A9A1-B62E8F2A870A} - (no file) O2 - BHO: (no name) - {2AD08322-6ACD-45E3-B5BD-10501DCC108D} - (no file) O2 - BHO: (no name) - {2B909636-807E-48DC-AC0D-60B74ECBE634} - (no file) O2 - BHO: (no name) - {2E478596-55EA-42E4-8E6B-932935225FCB} - (no file) O2 - BHO: (no name) - {348A6107-0C33-4ABB-B723-E71096FAAE41} - (no file) O2 - BHO: (no name) - {3C49462E-3D7D-4F9C-9D81-F48A75967D17} - (no file) O2 - BHO: (no name) - {48AAB019-090B-4E9E-AF0B-C48E00E060B4} - (no file) O2 - BHO: (no name) - {49198729-BB60-4248-A615-8BEC2696F066} - (no file) O2 - BHO: (no name) - {4F5F3262-25C6-4E46-B8E4-D453EB128D7D} - (no file) O2 - BHO: (no name) - {4FDB5CE1-0DDC-4A9C-B9FC-8D961D2C7787} - (no file) O2 - BHO: (no name) - {566683ED-C339-45A9-8512-A3E2657F0D05} - (no file) O2 - BHO: (no name) - {57E218E6-5A80-4f0c-AB25-83598F25D7E9} - C:\WINDOWS\System32\qanlyhqi.dll (file missing) O2 - BHO: (no name) - {59424AF5-71D1-4677-8FDF-D5E1C028E4D5} - (no file) O2 - BHO: (no name) - {5F7FBCDD-68AD-4943-8721-C5BF67AF5F1C} - (no file) O2 - BHO: (no name) - {5FED802E-CAB2-4162-89AE-F50A12A473FC} - (no file) O2 - BHO: (no name) - {65E77411-89AC-4209-914B-29E5FACFA99E} - (no file) O2 - BHO: (no name) - {7D564E6E-64A1-4329-A301-C75A2B170721} - (no file) O2 - BHO: (no name) - {7F82F38B-F805-484F-914A-89782E378FE7} - (no file) O2 - BHO: (no name) - {7F9ED87D-F78D-4C7C-9DC9-9E1E87C36592} - (no file) O2 - BHO: (no name) - {8120969A-8D0A-4E94-938A-1A058CBA29CC} - (no file) O2 - BHO: (no name) - {8F82EA18-17E3-4908-99F2-A188DE56DD81} - (no file) O2 - BHO: (no name) - {98D5C36D-1174-4CDB-9785-A95A47722E4C} - (no file) O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\System32\cbxuvus.dll O2 - BHO: (no name) - {A112FB60-CFF1-4BE3-85D3-80D3B6D8C467} - (no file) O2 - BHO: (no name) - {AA83019C-E4E7-4A9A-849E-3854EF94EB83} - (no file) O2 - BHO: (no name) - {B93415D9-6C8C-4161-A134-4988D0E035A2} - (no file) O2 - BHO: (no name) - {BC1B76C6-918D-404D-A89F-0761D049507D} - (no file) O2 - BHO: (no name) - {BCC91B53-9A68-4DEB-AC64-BC28DB1F5789} - (no file) O2 - BHO: (no name) - {C4B6636F-314F-4127-AC2A-6A1673DB8129} - (no file) O2 - BHO: (no name) - {C696BB29-78F4-4D97-92D8-645F97504252} - (no file) O2 - BHO: (no name) - {CACE8F84-0D24-42A9-B80E-D7BE1F9DA7D4} - (no file) O2 - BHO: (no name) - {CCC4C3E6-3E15-4812-9993-CBAF929FC368} - (no file) O2 - BHO: (no name) - {D0A60D0C-3846-47A8-90C5-94A1E72E0301} - (no file) O2 - BHO: (no name) - {D105B124-FA02-4800-9D4F-30E4EF59E0FD} - (no file) O2 - BHO: (no name) - {D2CA6C88-DD6A-43B8-81A8-84D97E8DA063} - C:\WINDOWS\System32\nnnom.dll (file missing) O2 - BHO: (no name) - {DB128EAC-5608-4020-8C46-B63FFFDE1574} - (no file) O2 - BHO: (no name) - {EB054188-9FF9-4E36-BD49-1CBF4A27132A} - (no file) O2 - BHO: (no name) - {F4F73FFA-7D28-42EC-891E-F7E0C23189B9} - (no file) O2 - BHO: (no name) - {F5DF1019-CA98-4DD5-88B3-02B10BD19AB2} - (no file) O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\vcnpnf.exe O4 - HKLM\..\Run: [Windows UpdateFirewall System] ctfmom.exe O4 - HKLM\..\RunServices: [SYSTEM] winmgrd.exe O4 - HKLM\..\RunServices: [Windows UpdateFirewall System] ctfmom.exe O4 - HKCU\..\Run: [SYSTEM] winmgrd.exe O4 - HKCU\..\RunServices: [SYSTEM] winmgrd.exe O20 - Winlogon Notify: nnnom - C:\WINDOWS\System32\nnnom.dll (file missing) O23 - Service: WindowsServer Management Services (Server Management Services) - Unknown owner - C:\WINDOWS\sysrss32.exe (file missing)
Boote danach den PC und erstelle ein neues Logfile of HijackThis, poste dieser hier. Nochmal die Frage: Ist dein Windows XP eine Raubkopie? Eine Antwort darauf wäre wichtig für die weitere Hilfe die du benötigst.
Logged
Bookmark:
