Großes Problem mit Trojaner ! Vturp.dll lässt sich nicht löschen !

#0
20.05.2005, 01:48
...neu hier

Beiträge: 1
#1 hallo,

habe schonmal das selbe problem auf nem anderen Board gepostet, hier die URL: http://forum.hijackthis.de/showthread.php?t=4403

leider wurde mir da bis jetzt noch nicht richtig weiter geholfen, ihr könnt euch ja mal durchlesen, was schon alles unternommen wurde, jedoch zwecklos, die Datei vurp.dll im Ordner Windows/system32 bekomm ich nicht weg.

Jedes mal wenn ich irc oder den Explorer öffne, sagt mir mein Virenprogramm (Antivir) das ich das "Trojanisches Pferd TR/Dldr.ConHook.D" habe.

habe keine Ahnung was ich noch machen soll, hat jemand eine Idee ??
Seitenanfang Seitenende
20.05.2005, 14:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ASUS\Probe\AsusProb.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe
C:\WINDOWS\system32\hphmon04.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\HPHipm11.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinampOld\Winamp.exe
C:\Programme\hijack_this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8E13DDE1-E013-47ec-9C4C-27C2F78BDD26} - C:\WINDOWS\system32\vturp.dll
O4 - HKLM\..\Run: [NVMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: vturp - C:\WINDOWS\SYSTEM32\vturp.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

-----------
Datei: vturp.dll
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir TR/Dldr.ConHook.D gefunden
Avast Keine Viren gefunden
AVG Antivirus Downloader.Small.38.BT gefunden
BitDefender Trojan.Downloader.ConHook.D gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.DownLoader.2655 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.ConHook.d gefunden
mks_vir Trojan.Downloader.Conhook.D gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/ConHook.D gefunden
VBA32 Trojan-Downloader.Win32.ConHook.d gefunden

Wed May 18 09:45:14 2005 => File C:\DOKUME~1\jim_fear\LOKALE~1\TEMPOR~1\Content.IE5 \FDTPKB74\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.j" Virus! Action Taken: No Action Taken.

File C:\DOKUME~1\jim_fear\LOKALE~1\TEMPOR~1\Content.IE5 \KXO5MZG1\m1984p16[1].txt infected by "Trojan-Dropper.Win32.Agent.jz" Virus! Action Taken: No Action Taken.

File C:\DOKUME~1\jim_fear\LOKALE~1\TEMPOR~1\Content.IE5 \OLQF0XUN\e7widqwi[1].hta infected by "Trojan-Dropper.VBS.Inor.x" Virus! Action Taken: No Action Taken.

File C:\DOKUME~1\jim_fear\LOKALE~1\TEMPOR~1\Content.IE5 \OLQF0XUN\m1984p16[1].txt infected by "Trojan-Dropper.Win32.Agent.jz" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3QSBJ54X\load[1].js infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3QSBJ54X\prompt[1].php infected by "Trojan-Downloader.JS.WinAD.a" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3QSBJ54X\prompt[2].php infected by "Trojan-Downloader.JS.WinAD.a" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HU3OXYZ\prompt[1].php infected by "Trojan-Downloader.JS.WinAD.a" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4NFF2K1P\a577a075[1].js infected by "Trojan-Downloader.JS.Small.af" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8FP3Q2Z1\get_js2[1].txt infected by "Trojan-Downloader.VBS.Phel.f" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8FP3Q2Z1\get_js2[1].txt infected by "Trojan-Downloader.VBS.Phel.f" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EUVOS0PB\m1984p16[1].txt infected by "Trojan-Dropper.Win32.Agent.jz" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FDTPKB74\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.j" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXO5MZG1\m1984p16[1].txt infected by "Trojan-Dropper.Win32.Agent.jz" Virus! Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OLQF0XUN\e7widqwi[1].hta infected by "Trojan-Dropper.VBS.Inor.x" Virus! Action Taken: No Action Taken

File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OLQF0XUN\m1984p16[1].txt infected by "Trojan-Dropper.Win32.Agent.jz" Virus! Action Taken: No Action Taken.

Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*


Wed May 18 13:28:28 2005 => Total Objects Scanned: 352970
Wed May 18 13:28:28 2005 => Total Virus(es) Found: 30
Wed May 18 13:28:29 2005 => Total Disinfected Files: 0
Wed May 18 13:28:29 2005 => Total Files Renamed: 0
Wed May 18 13:28:29 2005 => Total Deleted Objects: 0
Wed May 18 13:28:29 2005 => Total Errors: 40
Wed May 18 13:28:29 2005 => Time Elapsed: 04:36:20

Wed May 18 13:28:29 2005 => ***** Scanning complete. *****
Wed May 18 13:28:30 2005 => Virus Database Date: 2005/05/17
Wed May 18 13:28:30 2005 => Virus Database Count: 130488

Wed May 18 13:28:30 2005 => Scan Completed.

---------------------------------------------------------------------------------

--Der Panda Scan hat keine Viren gefunden !!

Spybot hat auch nichts gefunden !
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.05.2005, 14:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo@jimfear

Ich muss dich ein wenig "beschaeftigen", um den Downloader vom Virus zu finden.....

CCleaner--> loesche alle *temp-Datein, hake vor allem die index.dat an und starte den PC neu
http://virus-protect.org/temp.html



Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten

silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

# Laden Sie L2mfix von hier :
http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe
# Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
# Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
# Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
# Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
# Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren.

WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

# Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter].
# Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
# Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
# L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

# Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].
# Dies stellt die Winlogon Standardeinstellungen wieder her.
# Posten Sie einen aktuellen HijackThis Log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »