Soultaker06

Sorry, wenn dieses thema schon wo besprochen wurde,aber ich habe einen Trojaner (TR/Inject.KQ.3),den ich nicht gelöscht bekomme,da Anti VIr das zwar machen will,aber nicht an die Datei C:/WINDOWS/system32/mljkkj.dll randarf... alles probiert nix hilft.... ihr seid meine letzte Hoffnung. ( der Mistkerl hatte Kollegen [Tr/Injext.KQ.5/4/1] die ich aber alle löschen konnte nur das bekomme ich nicht hin!!!!!)

ReinMan

Poste mal ein Hijackthislogfile ins Forum rein. Do a system scan and save a Logfile. Das LF postest du hier rein. Hast du schon mit Spybot und Adaware nachgeprüft und einen komplett Scan gemacht ? wenn du die Datei kennst und weißt wo sie sich befindet lasse sie mal auf www.virustotal.com auswerten lassen.

http://www.chip.de/downloads/c1_downloads_13001443.html

http://www.chip.de/downloads/c1_downloads_13000824.html

http://www.chip.de/downloads/c1_downloads_13011934.html

Soultaker06

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:53:10, on 21.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Free Download Manager\FUM\fumoei.exe
C:\Programme\Free Download Manager\fum\fum.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_01\bin\jucheck.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Jannis.JANNIS-REICH\Desktop\HiJackThis202.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://admin/proxy.pac
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {162C6BC2-E852-4D45-B139-E8A6737F1054} - C:\WINDOWS\system32\mljkkji.dll
O2 - BHO: (no name) - {200D0AAD-71B1-51C9-DDB0-092BA4662A54} - C:\Programme\Nxcvurlb\wmskcsea.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {B00B4D1B-911D-4752-8F2A-D31FCAFDC551} - C:\WINDOWS\system32\geebb.dll
O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll (file missing)
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll (file missing)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

So das isser... lasse gerade search and destroy durchlaufen mal sehen was das ergibt

ReinMan

O2 - BHO: (no name) - {B00B4D1B-911D-4752-8F2A-D31FCAFDC551} - C:\WINDOWS\system32\geebb.dll

O2 - BHO: (no name) - {200D0AAD-71B1-51C9-DDB0-092BA4662A54} - C:\Programme\Nxcvurlb\wmskcsea.dll (file missing)

O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll (file missing)

O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll (file missing)

Die markierst du bitte alle und gehst auf "fixxed checked". Unter anderem befindet sich dort ein schädliches Programm was der Virus sein kann.



O2 - BHO: (no name) - {162C6BC2-E852-4D45-B139-E8A6737F1054} - C:\WINDOWS\system32\mljkkji.dll

Weißt du was das für ein Programm ist ??


Ansonsten ist dein Logfile sauber. Hat Spybot und Adaware schon was ergeben ?

Soultaker06

1) Spybot is durchgelaufen und ich habe ne menge korrigiert (inzwischen läuft auch internet explorer wieder,realplayer aber noch nicht!)
2)Wenn ich die Pfade bei HiJackThis lösche und einen neuen scan mache sind sie immer noch da!! (bis auf bearshare)
3) Nein ich weiß nicht zu welchem programm das gehört (bei einer aktion meinte er mir würde eine datei namens ylwenepap.dll oder so fehlen und anschließen das dieses mjkkijl.dll keine windows datei währe und ich das irgendwie testen solle
4)installiere grade ad-aware und werde dann morgen sagen was dabei rausgekommen ist

ReinMan

Okay das lässt sich nur ausschalten wenn du Bearshare deinstallierst. Ansonsten prüf mit Adaware nochmal nach. Gibt denn Antivir immernoch die Meldung raus das sich ein Virus auf deinem Rechner befindet ?? am besten nach Adaware nochmal einen komplett Scan machen


Ansonsten kannst du die Datei ja auch mal auf www.virustotal.com hochladen und auswerten lassen

z.B mjkkijl.dll

oder die vom Unbekannten Programm

norisknofun

ich glaub in Chip gibts ein programm mit dem du von einer cd aus starten kannst. Proberis einmal mit dem!

mfsto

Mach folgendes:


Extras-->Ordneroptionen
-Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
-Geschützte Systemdateien ausblenden -> Haken weg
-Inhalte von Systemordnern anzeigen -> Haken setzen
-Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen


dann gehst du auf www.virustotal.com , klickst auf den "Dursuchen..." Button und suchst nach folgender Datei:
C:\WINDOWS\system32\mljkkji.dll

wenn gefunden, klickst du auf "Senden der Datei" und wartest die Auswertung der Datei ab ,was ein paar Minuten in Anspruch nehmen kann..

Gleiches Spiel mit folgender Datei:
C:\WINDOWS\system32\geebb.dll

Speichere beide Logfiles nachdem der Scan beendet ist und kopier beide , einschließlich Kopfdaten (Größe der Datei usw.), ins Forum.

Mfg

Soultaker06

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.23.0 2007.11.22 -
AntiVir 7.6.0.34 2007.11.22 ADSPY/Virtumonde.ari
Authentium 4.93.8 2007.11.21 -
Avast 4.7.1074.0 2007.11.21 -
AVG 7.5.0.503 2007.11.22 Adware Generic2.WUM
BitDefender 7.2 2007.11.22 Adware.Virtumonde.GHN
CAT-QuickHeal 9.00 2007.11.22 -
ClamAV 0.91.2 2007.11.22 -
DrWeb 4.44.0.09170 2007.11.22 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5316 2007.11.22 -
Ewido 4.0 2007.11.21 -
FileAdvisor 1 2007.11.22 -
Fortinet 3.14.0.0 2007.11.22 -
F-Prot 4.4.2.54 2007.11.22 -
F-Secure 6.70.13030.0 2007.11.22 Vundo.gen49
Ikarus T3.1.1.12 2007.11.22 -
Kaspersky 7.0.0.125 2007.11.21 -
McAfee 5168 2007.11.21 -
Microsoft 1.3007 2007.11.22 -
NOD32v2 2678 2007.11.22 -
Norman 5.80.02 2007.11.22 Vundo.gen49
Panda 9.0.0.4 2007.11.22 Suspicious file
Prevx1 V2 2007.11.22 SpywareQuake
Rising 20.19.31.00 2007.11.22 -
Sophos 4.23.0 2007.11.22 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2007.11.22 -
Symantec 10 2007.11.22 -
TheHacker 6.2.9.136 2007.11.21 -
VBA32 3.12.2.5 2007.11.20 -
VirusBuster 4.3.26:9 2007.11.22 Adware.Vundo.V.Gen
Webwasher-Gateway 6.0.1 2007.11.22 Ad-Spyware.Virtumonde.ari
weitere Informationen
File size: 325728 bytes
MD5: 5e2235b8e77bdf95cd7b38766d61e5fd
SHA1: 0c1cbc7db83a3513ed056d29c589a1dd96230d71
Prevx info: http://fileinfo.prevx.com/fileinfo.a...9A2100E56CBE3C

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Inject.KQ.3
Authentium - - -
Avast - - -
AVG - - Win32/PolyCrypt
BitDefender - - Trojan.Inject.ET
CAT-QuickHeal - - Trojan.Inject.kq
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - Trojan.Win32.Inject.kq
Ikarus - - Trojan.Win32.Inject.kq
Kaspersky - - Trojan.Win32.Inject.kq
McAfee - - -
Microsoft - - -
NOD32v2 - - probably a variant of Win32/Genetik
Norman - - Vundo.gen42
Panda - - -
Prevx1 - - Malware.Gen
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - Trojan.Vundo
TheHacker - - Trojan/Inject.kq
VBA32 - - -
VirusBuster - - Adware.Vundo.V.Gen
Webwasher-Gateway - - Trojan.Inject.KQ.3

mfsto

* Lade dir vundofix.exe http://www.softpedia.com/progDownloa...oad-33165.html
* Doppelklick VundoFix.exe
* Klickauf den Scan for Vundo (1) Button
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren




Neues Hijackthis Logfile posten.



Mfg