Trojaner sstqr.dll

Blutmass · 27.01.2008, 22:35

Hey Leute ich habe gerade eben eine Meldung von AntiVir bekommen
dass ein Trojaner auf meinem PC gefunden wurde.
Die Meldung lautet :

C:\WINDOWS\system32\sstqr.dll
Ist das Trojanische Pferd TR/Vundo.Gen

Wenn ich versuche den Trojaner zu löschen popt die Meldung
nach ein paar Sekunden wieder auf.
Manuell löschen geht auch nicht, denn wenn ich die Datei auch nur
anklicke popt sofort gleich noch ein weiteres Fenster auf mit der
gleichen Warnung.

Was kann ich jetzt tun bzw wie kann ich den Trojaner löschen?
Würde mich auf schnelle Hilfe freuen, thx schonmal im Vorraus.

Edit : Mittlerweile taucht jetzt auch unter dem selben Pfad die Datei byxyawu.dll
als Trojanerwarnung auf sobald ich den Browser oder auch andere Sachen öffne.

ReinMan · 28.01.2008, 05:12

Als erstes postest du uns ein Hijackthislogfile ins Forum. Do a system scan save a Logfile. Das LF postest du hier rein.

http://www.entfernen-spyware.de/virt...entfernen.html

Dann lädst du dir den Scanner und probierst ihn damit zu beseitigen.

http://www.chip.de/downloads/HijackT..._13011934.html

Blutmass · 28.01.2008, 06:26

Hier mein Hijackthislogfile :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:23:29, on 28.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\programme\steam\steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
O2 - BHO: (no name) - {07BF83DF-9037-4431-AB72-2B8B40065148} - C:\WINDOWS\system32\sstqr.dll
O2 - BHO: (no name) - {76460D80-480D-40BF-AF0D-3A2D3B8DEF61} - C:\WINDOWS\system32\byxyawu.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: byxyawu - C:\WINDOWS\SYSTEM32\byxyawu.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3495 bytes

Blutmass · 28.01.2008, 12:10

spyhunter findet bei mir 9 cookies und eine datei (ein keylogger) beim scannen.
aber wie kann ich die entfernen?
wenn ich alle auswähle und dann start remove klicke, sagt mir das programm
das ich mich registrieren muss und dann kostet ja ca 30 $.
oder hab ich das nich ganz kapiert und es geht auch noch anders?
manuell löschen ist mir zu riskant.
Sieht mittlerweile recht übel aus bei mir soweit ich das einschätzen kann.
ich habe grade durchgehend 3 fenster mit trojanerfunden offen die sich nachdem
ich sie schließe gleich wieder öffnen. es kommen noch mehrere dazu sobald ich
einen Ordner oder Firefox öffne. ich kann praktisch nichts mehr anklicken ohne
das ich mit viren warnungen zugespammt werde.

mir ist aufgefallen das mein internet seit kurzem extrem langsam ist, ich lade
atm mit ca 15 kbps bei 1000 dsl. könnte das mit dem trojaner zusammenhängen?

ReinMan · 28.01.2008, 16:41

Aber natürlich der Trojaner frisst sich immer tiefer in dein System und manipuliert dort alles. Ich rate dir neu aufzusetzen und einen neuen Master Boot Sektor zu schreiben.

Start>ausführen> fixmbr eintippen und fixboot. Danach neustarten und dein System neu aufsetzen ich denke da hilft dir das einfache entfernen nicht mehr.

Blutmass · 28.01.2008, 17:43

während ich auf eine antwort gewartet habe, habe ich schonmal mein system
mit der recovery disc formatiert und windows neu installiert was aber nichts
gebracht hat.

ähm zu der antwort, ich kenn mich nich groß aus mit so nem kram, könntest
du mir bitte genauer erklären was ein master boot sektor ist und wie ich da
einen neuen schreiben kann?
achja und unter start/ausführen findet mein pc "fixmbr" nicht

ReinMan · 28.01.2008, 19:04

Sorry hab mich vertan.

"Booten von der XP CD, im Setup Taste R drücken. Aus der Liste die Windows XP Installation auswählen und Administratorpasswort eingeben. In die Eingabeaufforderung FIXMBR und FIXBOOT eingeben."

http://www.defense.at/archive/438/thread.html

Danach setzt du dein System neu auf und machst deine HDD "fabrikneu".

Blutmass · 28.01.2008, 19:40

kk hab alles so gemacht wie dus gesagt hast, ich werd jetzt mein system neu
aufsetzten
was genau meinst du mit fabrikneu ?^^
sry, wie gesagt ich kenn mich mit sowas überhaupt nich aus^^

Ostseesand · 28.01.2008, 19:43

Hi,

mit fabrikneu ist der zustand der festplatte, als wenn du den pc gerade gekauft hättest. Auslieferungszustand.

Blutmass · 28.01.2008, 19:46

alles klar dann mach ich das nu mal.
vielen dank schonmal an die schnellen antworten und die hilfe, das hät ich allein
nich hingekriegt =)

Sie betrachten gerade: Trojaner sstqr.dll