LOKLeipzig

Nabend zusammen.

Habe folgendes Problem. bei mir meldet mein Antivier so jede halbe stunde nen Trojaner, entweder im systen32 ne dll datei oder in eigene dateien.

Seid er die meldungen hat, läuft mein rechner echt miserabel, hängt sich immer auf und sowas, Es kommen auch immer pop-ups von systemdoctor.

Hab nen Celeron 2,8 GHz mit 512 MBRam

Hab mal nen HiJack gemacht, leider verstehe ich da nur banhof.

Logfile of HijackThis v1.99.1
Scan saved at 21:40:16, on 12.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\BitTorrent\bittorrent.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\RegistrySmart\RegistrySmart.exe
C:\DOKUME~1\DAVID~1.DUW\LOKALE~1\Temp\Rar$EX00.453 \HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Die Siedler 2 Die nächste Generation
O4 - HKLM\..\Run: [j8241132] rundll32 C:\WINDOWS\system32\j8241132.dll sook
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ApachInc] rundll32.exe "C:\WINDOWS\system32\qswipiax.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab56986.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B114B54A-2E91-47E8-AB89-D3B94F300708}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe




Bitte helft mir.

Danke schonmal im vorraus

Beinahe_admin

Hy,

tu mal deien Virenscanner deinstelliern und KAspersky (systemprüfung) drauf und mach mit Spybot nen serchlauf. Mal sehn ob er was findet.

Gruß
B_A

Mobin

So David,

Diese Sachen sehen verdächtig aus:

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Die Siedler 2 Die nächste Generation

O4 - HKLM\..\Run: [j8241132] rundll32 C:\WINDOWS\system32\j8241132.dll sook

O4 - HKLM\..\Run: [*******Tray] "C:\Programme\*******\*******\*******Tray.exe" /s

O4 - HKLM\..\Run: [ApachInc] rundll32.exe "C:\WINDOWS\system32\qswipiax.dll",realset

Fix die mal.

mfsto

Lass folgende Datein beim Onlinescanner(>>VirusTotal<<) überprüfen:

Poste anschließend das vollstände Ergebnis des Scans.

Damit der System32 Ordner und somit die Datein sichtbar werden :

Extras-->Ordneroptionen
-Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
-Geschützte Systemdateien ausblenden -> Haken weg
-Inhalte von Systemordnern anzeigen -> Haken setzen
-Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Was zum Henker ist das:
Aufjedenfall mit Hijackthis fixen wie der Kollege schon erwähnt hat..
Wie fixe ich?
--->Nach dem Scan erscheint die Auflistung aller Browser Helper(..O2 usw.)
Haken bei den beiden Einträgen und auf "Fix checked".

Zu diesem Eintrag:
O4 - HKLM\..\Run: [*******Tray] "C:\Programme\*******\*******\*******Tray.exe" /s

Hast du die "*******" selber hinzugefüght ?
Tray.exe ist ansich nichts schlimmes..Hat normalerweise was mit dem Internetprovider zu tun..

Die verdächtigen Datein einfach fixen hat wohl keinen Sinn ,da sich die Dinger höchstwahrscheinlich in die Register kopiert haben..
Deswegen lad sie erstma hoch.
Mfg

LOKLeipzig

so, erstmal danke für die schnelle antwort.

Habe die dateien mal gefixt, tauchen auch nicht mehr auf.

Habe nen onlinescan gemacht von der datei qswipiax.dll hat folgendes gebracht:Your file "qswipiax.dll" is queued in position: 2. Estimated start time is between 50 and 71 seconds.
STATUS: QUEUED

Habe mir jetzt Kaspery geholt, mal sehen was er sagt.
muss sagen nach den fixen geht er irgendwie etwas schneller der rechner.

LOKLeipzig

So hab mal nen durchlauf mit kaspersky gemacht, glaube meine ganzen dll datein sind adware. komme aus dem drücken nicht mehr raus, ann aber nur überspringen. und jedesmal wenn kaspersky startet zeigt er mir eine aktivbe bedrohung an die nur durch einen speziellen desinfektionsvorgang reparieren wertden kann. und ein neustart des computers erforderlich ist. muss ich jetzt dauernt neu st<rten bis alle weg sind? denn wenn ich nen durchlauf machen kann ich die gefundennen objekte nur löschen oder überspringen, löschen ist aber schlecht oder? sind doch dll.

Der name des viruses lautet: "not-a-virus:AdWare.Win32.Virtumonde.jp"

mfsto

Ich benutze Kaspersky nicht , weshalb ich dir dazu auch nichts sagen kann..
Poste bitte trotzdem ma den vollständigen Bericht vom Onlinescanner !
Die beiden Datein sollen überprüft werden:
C:\WINDOWS\system32\j8241132.dll
C:\WINDOWS\system32\qswipiax.dll

>>>www.virustotal.com
Ich brauche den vollständigen Bericht und nicht irgendwelche Häppchen

Marc-Andre

Schau mal ob das Dir weiter helfen tut.

LOKLeipzig

Irgendwie hilft hier garnix, glaube mir bleibt nichts anderes mehr übrig als die letzte lösung, "Remote" mal schauen ob es dann weg ist

Marc-Andre

Verstehe jetzt nicht was du meinst, meinst du mit Remote die Fernverbindung auf einen Rechner oder was? Wen ja, was hast du vor?