Ein Freund hat einige Trojaner an Board!! Brauchen Hilfe

[juergen2000]

Hallo,

hab bei einem Freund von mir eine Hijackthis Log Datei erstellt. Der Virenscanner Antivir bringt es nicht fertig ihn oder sie zu löschen und spinnt dann total! handelt sich z.B. um den TR/Vundo.Gen und den TR/Oldr.Agen.Zv.1.B

Ich vermute noch einiges mehr an Problemen auf dem PC.
Kann da mal einer drüber schauen?

Logfile of HijackThis v1.99.1
Scan saved at 19:29:54, on 31.10.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mobsync.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\starter.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINNT\twain_32\A4CIS600\WATCH.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Lay1\LOKALE~1\Temp\Rar$EX00.139\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [08331c45] rundll32.exe "C:\WINNT\system32\mynyhfvd.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Watch.lnk = C:\WINNT\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 7223551663
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/be ... der_v6.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www5l.incredimail.com/contents/s ... loader.cab
O20 - AppInit_DLLs: C:\WINNT\system32\__c00A479.dat
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe



Vielen Dank im Vorraus.

lg
Jürgen

[BlueScreen-Bertrand]

Lade die aktuellste Version von HijackThis hier ("HijackThis Executable") herunter, und ersetze die alte Version.

Beende, bevor du fortfährst, die folgenden Programme, sofern sie laufen und vorhanden sind:
- Antivirenprogramme
- Firewall (außer Windows-Firewall)
- Spybot S&D TeaTimer
(In der Regel lassen sich alle über die Symbole rechts in der Taskleiste beenden oder anhalten)

Um sich bei der Verwendung von Onlinescannern nicht störend auf die Leistung auszuwirken, sollten auch alle anderen Anwendungsprogramme beendet werden.

1.: Lade die folgenden Dateien auf der Website http://www.virustotal.com/de/ hoch, um sie zu überprüfen:

Code: Alles auswählen

C:\WINNT\system32\mynyhfvd.dll

2.: Rufe diese Website im Internet Explorer auf; beachte die Hinweise.
http://www.kaspersky.com/kos/german/par ... bscan.html
Führe eine komplette Überprüfung durch und poste den Bericht in CODE-tags.

Starte Windows im abgesicherten Modus neu und lösche die in 1. genannten Dateien, falls sie bösartig sind und poste ebenfalls den Bericht von Virustotal.

3.: Starte HijackThis erneut und wähle die folgenden Einträge durch Anhaken aus:

Code: Alles auswählen

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

O4 - Startup: Watch.lnk = C:\WINNT\twain_32\A4CIS600\WATCH.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

Klicke dann auf Fix checked, um diese zu entfernen. Starte Windows neu.

4.: Updates
Unter dieser Version von Windows sollte der aktuelle Adobe Reader 8.1 installiert werden.
http://adobe.com/

5.: Erstelle mit HijackThis ein neues Logfile und poste es in CODE-Tags in diesen Thread.

(entfernt)

Überlege dir, ob es für deine Bedürfnisse nicht ausreichend wäre, mit einem eingeschränkten Benutzerkonto zu arbeiten, dadurch lassen sich fast alle sicherheitskritischen Angriffe abwehren.

[juergen2000]

Hi, erstmal vielen dank.

wie gesagt, es ist nicht mein PC . und ich habe eigentlich nix an dem Logfile verändert. was soll das denn sein was verändert ist?

Sind bei dem löschen die TR/Vundo.Gen und den TR/Oldr.Agen.Zv.1.B dann auch dabei?

soll ich den neuen Hijack nochmal drüber laufen machen oder erstmal alles machen wie du beschrieben hast?

wie is das mit den Code-Tags genau gemeint?

in wie weit würdest du das Benutzerkonto eingeschränken ?

lg
Jürgen

[BlueScreen-Bertrand]

wie gesagt, es ist nicht mein PC .

Ich weiß, aber ich hab für die ANleitung eine Vorlage und da ist alles so geschrieben, als richte es sich an dich.

und ich habe eigentlich nix an dem Logfile verändert. was soll das denn sein was verändert ist?

Die Vorlage ist schuld... der Text sollte da nicht stehen, hab ihn entfernt.

Sind bei dem löschen die TR/Vundo.Gen und den TR/Oldr.Agen.Zv.1.B dann auch dabei?

Wissen wir noch nicht. Dazu brauche ich die Berichte.

soll ich den neuen Hijack nochmal drüber laufen machen oder erstmal alles machen wie du beschrieben hast?

Bitte so vorgehen, wie oben beschrieben.

Berichte sollten in Code-Tags geschrieben werden, damit die Übersicht deines Beitrags nicht unter den langen Listen leidet.
(Text markieren und oben auf "Code" klicken)

[juergen2000]

Hallo,

endlich hab ich mal zeit gefunden weiter zu machen!!

also die mynyfvd.dll finde ich nicht mehr.nach dem PC Start kommt volgende Fehlermeldung: Fehler beim laden von c:\WINNT\system32\mynyhvd.dll angegebenes Modul nicht gefunden.

was is da passiert?

auch bei kasparsky konnte ich nicht scannen, hat lange geladen und dann abgebrochen

hier die Log datei nach der bearbeitung! vielen dank

Code: Alles auswählen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:27:40, on 24.11.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\starter.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINNT\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {59A5E88B-5491-4A69-AB6E-0ADC568787E1} - C:\WINNT\system32\wvuss.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {D8796EFB-BFD9-495C-A22D-5EAE427833A4} - C:\WINNT\system32\yayyv.dll (file missing)
O2 - BHO: {d337dc5b-13b9-ea78-97e4-4bb333fa2cbe} - {ebc2af33-3bb4-4e79-87ae-9b31b5cd733d} - C:\WINNT\system32\vfsrrcvc.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [08331c45] rundll32.exe "C:\WINNT\system32\mynyhfvd.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157223551663
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www5l.incredimail.com/contents/setup/2007092401/downloader_nu/imloader.cab
O20 - AppInit_DLLs: C:\WINNT\system32\__c00A479.dat
O20 - Winlogon Notify: awtrsrs - C:\WINNT\SYSTEM32\awtrsrs.dll
O20 - Winlogon Notify: hgdee - C:\WINNT\system32\hgdee.dll
O20 - Winlogon Notify: ljhfg - C:\WINNT\system32\ljhfg.dll
O20 - Winlogon Notify: pmkij - C:\WINNT\system32\pmkij.dll
O20 - Winlogon Notify: wvuss - C:\WINNT\system32\wvuss.dll (file missing)
O20 - Winlogon Notify: xxwtr - C:\WINNT\system32\xxwtr.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe

--
End of file - 6961 bytes

[BlueScreen-Bertrand]

Starte Windows im abgesicherten Modus und lösche die folgenden Dateien:

Code: Alles auswählen

C:\WINNT\system32\mynyhfvd.dll

C:\WINNT\SYSTEM32\awtrsrs.dll

C:\WINNT\system32\hgdee.dll

C:\WINNT\system32\ljhfg.dll

C:\WINNT\system32\pmkij.dll

C:\WINNT\system32\xxwtr.dll

Starte HijackThis erneut und wähle die folgenden Einträge durch Anhaken aus:

Code: Alles auswählen

O2 - BHO: (no name) - {59A5E88B-5491-4A69-AB6E-0ADC568787E1} - C:\WINNT\system32\wvuss.dll (file missing)

O2 - BHO: (no name) - {D8796EFB-BFD9-495C-A22D-5EAE427833A4} - C:\WINNT\system32\yayyv.dll (file missing)

O2 - BHO: {d337dc5b-13b9-ea78-97e4-4bb333fa2cbe} - {ebc2af33-3bb4-4e79-87ae-9b31b5cd733d} - C:\WINNT\system32\vfsrrcvc.dll (file missing)

O4 - HKLM\..\Run: [08331c45] rundll32.exe "C:\WINNT\system32\mynyhfvd.dll",b

O20 - Winlogon Notify: awtrsrs - C:\WINNT\SYSTEM32\awtrsrs.dll

O20 - Winlogon Notify: hgdee - C:\WINNT\system32\hgdee.dll

O20 - Winlogon Notify: ljhfg - C:\WINNT\system32\ljhfg.dll

O20 - Winlogon Notify: pmkij - C:\WINNT\system32\pmkij.dll

O20 - Winlogon Notify: wvuss - C:\WINNT\system32\wvuss.dll (file missing)

O20 - Winlogon Notify: xxwtr - C:\WINNT\system32\xxwtr.dll

Klicke auf Fix Checked, um die Einträge zu entfernen.

Klicke auf Start, Ausführen und gib hier REGEDT32 ein, um den Registrierungseditor zu öffnen. Drücke F3, um das Suchformular uz öffnen und gib hier "c:\WINNT\system32\mynyhvd.dll" ein. Klicke auf "Suchen" oder "OK".
Lösche alle Zeichenfolgen-Einträge (die haben das ab-Symbol), auf die diese Suche anschlägt. Um die Suche nach einem Ergebnis fortzusetzen, drückst du einfach wieder F3.


Starte Windows neu und erstelle ein aktuelle Logfile mit HijackThis.

[juergen2000]

hi,

nochmal dankeschön

geht das suchen nach c:\WINNT\system32\mynyhvd.dll obwohl die datei nicht da ist und diese fehlermeldung bei jedem hoch fahren einmal kommt?

was hälst du von ZONE ALARM ?? das haben die drauf um ins net zu gehen per dsl und T online.

gruss
jürgen

[BlueScreen-Bertrand]

geht das suchen nach c:\WINNT\system32\mynyhvd.dll obwohl die datei nicht da ist und diese fehlermeldung bei jedem hoch fahren einmal kommt?

In der Registrierungsdatenbank steht aller Wahrscheinlichkeit nach ein Eintrag, der auf diese Datei verweist. Da sie nicht da ist, erhältst du beim Start eine Fehlermeldung.

Wenn du ganz sicher gehen möchtest, kannst du, bevor du etwa änderst, die Registrierungsdatenbank sichern: http://www.madeonapc.de/kb/016/default.php

was hälst du von ZONE ALARM ?? das haben die drauf um ins net zu gehen per dsl und T online.

Die ist sicher nicht schlecht. Gelegentlich muss mal einige Programme speziell anpassen.

[juergen2000]

Hi,

hier die neue Hijack locg datei nach der reinigung.

Ich konnte nur die C:\WINNT\SYSTHEM32\awtrsrs.dll nicht löschen, bekomme die Meldung Datei wird von Windows verwendet und kann nicht gelöscht werden!

gruss
jürgen

Code: Alles auswählen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:53, on 29.11.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\starter.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {BA34B26F-2A50-46CA-816C-7459AE18D5B6} - C:\WINNT\system32\yabyy.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157223551663
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www5l.incredimail.com/contents/setup/2007092401/downloader_nu/imloader.cab
O20 - AppInit_DLLs: C:\WINNT\system32\__c00A479.dat
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe

--
End of file - 6093 bytes

[BlueScreen-Bertrand]

Das hier kannst du noch mit HJT fixen:
O2 - BHO: (no name) - {BA34B26F-2A50-46CA-816C-7459AE18D5B6} - C:\WINNT\system32\yabyy.dll (file missing)

Die Datei muss im abgesicherten Modus gelöscht werden, weil sie da nicht verwendet werden kann.
Falls das auch nicht klappt, lade mal das Programm "Unlocker" herunter und versuche es damit. Lege vor dem Löschen aber eine Sicherungskopie dieser Datei an (am besten direkt auf Laufwerk C:). Wenn nach ein paar Neustarts keine Probleme aufgetreten sind, kannst du auch die Kopie löschen.

[juergen2000]

vielen lieben dank bis hier hin!!

Nun läuft das teil viel besser, muss dann noch versuchen die eine datei runter zu kriegen, denn im abgesicherten modus sagt er auch das die datei von windows verwendet wird!

Nun berichtet er mir das sein Antivir virenscanner immer wieder anspringt und er dann verschiedene dateien löschen muss die bei der warnung erscheinen! is das normal??
nach der bereinigung hab ich den scanner angestellt und er sass noch ne stunde dran und musste über 50 trojaner usw. löschen die auf seineer Festplatte saßen.

Gruss
Jürgen

[BlueScreen-Bertrand]

Habt ihr da shier schon gemacht?
http://www.kaspersky.com/kos/german/par ... bscan.html
(siehe auch oben)

[juergen2000]

Hi,

das hat nit funktioniert!! wurde abgebrochen. ich versuchs eventuell nochmal oder gibts was anderes...

Gruss
Jürgen

[BlueScreen-Bertrand]

Es gibt auch andere Websites die das können, zum Beispiel die von Panda Antivirus (kann aber sehr lange dauern).

Andere Möglichkeiten wären, mit einem anderen Betriebssystem auf diese Festplatte zuzugreifen; entweder:
- Die Festplatte in einen anderen Computer einbauen, auf dem bereits ein (gutes!) Antivirenprogramm installiert ist, oder...
- Mit Bart's PE Builder eine Rettungs-CD basteln, die ein AV-Programm enthält. Von Chip.de gab es mal eine auf dem Vista-Kernel basierende CD, die das konnte. Einfach mal suchen. (Es gab da mal noch die "Ultimate Boot Disk For Windows")

Ein Tipp am Rande (und mal ganz unter uns): Antivir ist für solche Zwecke übrigens nicht mehr geeignet, um Sicherheit beim Surfen zu bieten, ist es vielleicht geeignet, aber wenn es darum geht, den Dreck wieder loszuwerden, hat dieses Programm oft Probleme.

Wenn alles nichts hilft, gibt's noch die Neuinstallation.