Virus im Arbeitsspeicher

Annieheaven · 29.03.2008, 04:32

Hallo,

seit ein paar Tagen krieg ich ständig Meldungen wenn ich den Internet explorer öffne und wenn ich sie schließe werde ich weitergeleitet an sites wie syskontroller und so weiter ... ich hab nen virusscan mit Avast! gemacht und es sagt mir, ich hab ein Trojaner Win32:TratBHO [Trj] auf dem pc und einen Virus im Arbeitsspeicher, Avast sagt mir, ich soll den Computer neu starten und in der Bootphase ne Virenprüfung machen, wenn ich dann ja klicke sagt es mir, "Der Client besitzt ein erforderliches Recht nicht. Prgramm kann Betriebsystem nicht rebooten". Was soll ich tun???

TIPower · 29.03.2008, 07:17

Also jetzt genau dein PC hat ein Trojaner drauf.Aber man kann ihn nicht löschen mit Avast hasse Pro oder Free.Ich kann dir es erklären wie das klappen könnte du startest den PC machst erst mal ein Upgrade mit deimen Avast das dein AntiVir die neuste Version ist.Jetzt schaltest du ihn wieder ab und wieder an und gehst im abgesicherten Modus rein (Beim hochbooten f8 drücken)und lässt ihn mal dein ganzen system scannen und jetzt kannst du ihn eigendlich löschen.

ReinMan · 29.03.2008, 07:53

Würde dir zur Sicherheit vorschlagen du lädst dir Ewido runter und machst ein Update bevor du scannst. Dann machst du einen Speicher-Scan Registry-Scan und einen kompletten System-Scan. Alles was gefunden wird schreibst du dir auf teilst du uns mit und löscht es anschließend.

http://avg-anti-spyware.softonic.de/

PolishStyler · 29.03.2008, 09:32

Hi

scannenn und löschen und brichte ob es besser geworden ist

p.s schick uns auch vllt. ne logfile mit hijackthis

Annieheaven · 29.03.2008, 11:00

Hallo,
als ich meinen Pc heute angeschaltet habe, hat Avast automatisch einen scan im gesicherten Modus gemacht, noch bevor ich hierherkommen und eure Antworten lesen konnte also. Ich habe übrigens Avast Free. Was bei dem Systemscan rausgekommen ist, hab ich aufgeschrieben und poste ich euch hier. Die infizierten Dateien waren:

system volumeinformation ....dll
WINDOWS\system32\dfgobvim.dll
WINDOWS\system32\hvxedcts.dll
WINDOWS\system32\jxroswib.dll
WINDOWS\system32\tjijgbrr.dll
WINDOWS\system32\wwgvivbm.dll

Die waren alle mit Win 32: Trat BHO (Trj) infiziert.
Da das Dateien aus dem Windowsordner sind, wusste ich nicht genau was ich damit machen soll und hab sie in den Container verschoben.

Über den Virus im Arbeitsspeicher hat mir Avast überhaupt nichts mehr gemeldet. ?( wo is denn der hin?

Reicht euch das oder soll ich noch logs oder irgendwas posten?
Ist das jetzt in Ordnung so? Obwohl ich nicht weiß, ob das so toll ist wenn die Systemdateien da im Container sind...

Vielleicht könnt ihr mir ja weiterhelfen...

ReinMan · 29.03.2008, 11:52

Poste uns mal ein Hijackthislogfile ins Forum und scanne mit Ewido was ich dir weiter oben gepostet habe.

Do a system scan and save a Logfile das LF kopierst du hier ins Forum.

http://www.chip.de/downloads/HijackT..._24575647.html

Annieheaven · 29.03.2008, 15:02

okay, hab mit Ewido system gescannt, hat einen neuen Trojaner gefunden und zwar Trojaner Lop.4.D., und in Quarantane verschobe, außerdem ne Masse Warnungen, benfalls in Quarantäne.

Hier ist das Hijackthislogfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:57:28, on 29.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\Rundll32.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\xy\Eigene Dateien\Programme und Programmdateien\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 123.249.110.40:3128
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - 0AÜ - (no file)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {72BA0716-A3B5-4877-A906-DB67545A881E} - C:\WINDOWS\system32\sstss.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {FC9F68DA-8485-41AA-9EA3-FA7C639DC486} - C:\WINDOWS\system32\awtqppn.dll (file missing)
O2 - BHO: (no name) - ¨Ü - (no file)
O2 - BHO: (no name) - €AÜ - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [0C26310E15017F222F26] Rundll32.exe "C:\WINDOWS\system32\fgcuvxtr.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1136627358285
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata...PSUploader.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - http://www.ntrsupport.com/inquiero/m...ivex118_28.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: awtqppn - awtqppn.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 7672 bytes

Cedor · 29.03.2008, 15:48

folgendes kann raus:

O2 - BHO: (no name) - 0AÜ - (no file)

O2 - BHO: (no name) - {72BA0716-A3B5-4877-A906-DB67545A881E} - C:\WINDOWS\system32\sstss.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {FC9F68DA-8485-41AA-9EA3-FA7C639DC486} - C:\WINDOWS\system32\awtqppn.dll (file missing)

O2 - BHO: (no name) - ¨Ü - (no file)

O2 - BHO: (no name) - €AÜ - (no file)

O4 - HKLM\..\Run: [0C26310E15017F222F26] Rundll32.exe "C:\WINDOWS\system32\fgcuvxtr.dll",s

O20 - Winlogon Notify: awtqppn - awtqppn.dll (file missing)

Humdinger · 29.03.2008, 16:08

C:\WINDOWS\system32\fgcuvxtr.dll

Diese Datei/Dateien hier scannen lassen:
VIRUSTOTAL
Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - und hier vollständig posten

Annieheaven · 29.03.2008, 20:02

Ergebnis der Virustotal-prüfung:

Datei fgcuvxtr.dll empfangen 2008.03.29 20:49:33 (CET)

Ergebnis: 4/32 (12.5%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.29.0 2008.03.29 -
AntiVir 7.6.0.78 2008.03.28 TR/Vundo.Gen
Authentium 4.93.8 2008.03.29 -
Avast 4.7.1098.0 2008.03.29 -
AVG 7.5.0.516 2008.03.28 -
BitDefender 7.2 2008.03.29 -
CAT-QuickHeal 9.50 2008.03.28 -
ClamAV 0.92.1 2008.03.29 -
DrWeb 4.44.0.09170 2008.03.29 DLOADER.Trojan
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5653 2008.03.29 -
Ewido 4.0 2008.03.29 -
F-Prot 4.4.2.54 2008.03.28 -
F-Secure 6.70.13260.0 2008.03.29 -
FileAdvisor 1 2008.03.29 -
Fortinet 3.14.0.0 2008.03.29 -
Ikarus T3.1.1.20 2008.03.29 -
Kaspersky 7.0.0.125 2008.03.29 -
McAfee 5262 2008.03.28 -
Microsoft 1.3301 2008.03.28 -
NOD32v2 2984 2008.03.29 -
Norman 5.80.02 2008.03.28 -
Panda 9.0.0.4 2008.03.29 -
Prevx1 V2 2008.03.29 Trojan.Vundo
Rising 20.37.51.00 2008.03.29 -
Sophos 4.28.0 2008.03.29 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.29 -
TheHacker 6.2.92.258 2008.03.29 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.29 -
Webwasher-Gateway 6.6.2 2008.03.29 Trojan.Vundo.Gen
weitere Informationen
File size: 127040 bytes
MD5: 990ab99da23b64c236906791ecd3f011
SHA1: 4871aaa558029960927ef7bddf02e9637f0f5405
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramte...97B0001A2667D7