Startseite
Hilfe-ForumFrageSuchenKontakt/Impressum

ForenForum
Antwort 10 von HELP
am 11.06.2007
Remove!
Ja, das ist schon richtig.
Mache das und führe den Onlinescanner von Panda aus!

Antwort 11 von Kevin Kleckner
am 11.06.2007
tja wie soll ich das den erklären
als ich heute das vundoodings instaliert habe bekamm ich beim vundo scan die datei C:\WINDOWS\system32\qpyegcwm.dll
jetzt ist sie nicht mehr da
ich habe das vundo erst am morgen herausgefunden aber habe nicht gewusst ob ich jetzt removen soll oder nicht
hab es jezt wieder aufgemacht uns schwupps ist C:\WINDOWS\system32\qpyegcwm.dll
weg.
ich weiss nicht was das soll
ich glaube ich schicke euch einfach noch so ein bericht von highjackthis

Antwort 12 von Kevin Kleckner
am 11.06.2007
Logfile of HijackThis v1.99.1
Scan saved at 19:24:18, on 11.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\RocketDock\RocketDock.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Sun\StarOffice 8\program\soffice.exe
C:\Programme\Sun\StarOffice 8\program\soffice.BIN
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\j6231530.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://elc.borg1.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: WikiSearch - {44E7EF6C-6F5C-4AAF-A080-7725A27878ED} - C:\PROGRA~1\WIKISE~1\WIKIPE~1.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [BearFlix] "F:\Programme\BearFlix.exe" /pause
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\phmexhna.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - Startup: StarOffice 8.lnk = C:\Programme\Sun\StarOffice 8\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Find on Wikipedia... - C:\PROGRA~1\WIKISE~1\cm.html
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j6231530.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

Antwort 13 von Azures ***
am 11.06.2007
@ Kevin

Wenn ich jetzt nichts überlesen ahbe sollte dein Problem beseitigt sein. Wink
 Doch:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

hast du das schon probiert zu fixen?

Antwort 14 von HELP
am 11.06.2007
Hallo Kevin,
du machst die Sache komplizierter als sie ist!
Starte Vundofix und drücke den Button "Scan for Vundo".
Nach dem Scan drücke den Button "Remove for Vundo".
Hier eine Anleitung zu dem Tool VundoFix Tool:
http://forum.hijackthis.de/showthread.php?t=18415

Die Malware Vundo ist nach wie vor auf deinen Rechner aktiv. Vundo besitzt die Eigenschaft sich ständig zu verändern. Aktuell befindet sich der Vundoprozess bei dir jetzt untern diesem Eintrag: 
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\phmexhna.dll",realset

Also Feuer frei, starte das Removaltool und poste den Bericht.
Und nicht Vergessen, lass den Onlinescanner Panda auf deinen Rechner los und poste auch hier den Bericht.
Erschrecke nicht, wenn Panda Vundo erneut findet, dies werden nur die Backupdateien von VundoFix sein. 

Antwort 15 von Kevin Kleckner
am 12.06.2007
ich weiss nicht was ich für scheisse baue aber C:\WINDOWS\system32\phmexhna.dll hab ich nicht bei vundo gefunden
aber ich glaube es liegt daran das immer wenn der trojaner kommt lösch ich ihn sofort deswegen wärs logisch das auch, in dem fall das C:\WINDOWS\system32\phmexhna.dll gelöscht wurde
 

Antwort 16 von HELP
am 12.06.2007
Kevin,
ich denke wir haben hier ein Kommunikationsproblem.
Entweder du Verstehst mich nicht oder ich dich nicht - oder wie auch immer.

Nochmal,
- starte VundoFix
- drücke den Button "Scan for Vundo"
- Nach dem Scan drücke den Button "Remove for Vundo" um alles entfernen zu lassen was beim Scan gefunden wurde, ALLES !
- Poste den Report !

- Führe nun einen Überprüfung mit dem Onlinescanner von Panda aus.
- Poste den Report !


Und bleib Ruhig bei der Aktion, das wird schon wieder.

Antwort 17 von Kevin Kleckner
am 13.06.2007
das ist die einzige logische erklärung das wir uns nicht verstehen
ich hab des mit vundofix aufgegeben und deshelb das avg anti-spy runtergeladen
und so meine trojaner gelöscht
ich danke jeden der mich unterstützt hat und bedanke mich rechtherzlich
hab endlich das dumme ding(trojaner) gelöscht

 

Antwort 18 von patriot85
am 23.06.2007
hei leute wie kann ich den fehler, bzw: den trojaner endfernen Huh

mein antievir lasst ihn zwar nicht zugreiffen aber er blockiert meine internet geschwindischkeit.

bedanke mich im vor aus für die hilfe. 

Antwort 19 von Azures ***
am 23.06.2007
HELP hat hier oft genug erklärt wie es geht! Sie die einmal die Beiträge von HELP an.

« zurück Antworten