Großes Problem mit Trojaner ! Vturp.dll lässt sich nicht löschen ! |
||
---|---|---|
#0
| ||
20.05.2005, 01:48
...neu hier
Beiträge: 1 |
||
|
||
20.05.2005, 14:19
Ehrenmitglied
Beiträge: 29434 |
#2
Running processes:
C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ASUS\Probe\AsusProb.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\D-Tools\daemon.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe C:\WINDOWS\system32\hphmon04.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\HPHipm11.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinampOld\Winamp.exe C:\Programme\hijack_this\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {8E13DDE1-E013-47ec-9C4C-27C2F78BDD26} - C:\WINDOWS\system32\vturp.dll O4 - HKLM\..\Run: [NVMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: vturp - C:\WINDOWS\SYSTEM32\vturp.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe ----------- Datei: vturp.dll Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir TR/Dldr.ConHook.D gefunden Avast Keine Viren gefunden AVG Antivirus Downloader.Small.38.BT gefunden BitDefender Trojan.Downloader.ConHook.D gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.DownLoader.2655 gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.ConHook.d gefunden mks_vir Trojan.Downloader.Conhook.D gefunden NOD32 Keine Viren gefunden Norman Virus Control W32/ConHook.D gefunden VBA32 Trojan-Downloader.Win32.ConHook.d gefunden Wed May 18 09:45:14 2005 => File C:\DOKUME~1\jim_fear\LOKALE~1\TEMPOR~1\Content.IE5 \FDTPKB74\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.j" Virus! Action Taken: No Action Taken. File C:\DOKUME~1\jim_fear\LOKALE~1\TEMPOR~1\Content.IE5 \KXO5MZG1\m1984p16[1].txt infected by "Trojan-Dropper.Win32.Agent.jz" Virus! Action Taken: No Action Taken. File C:\DOKUME~1\jim_fear\LOKALE~1\TEMPOR~1\Content.IE5 \OLQF0XUN\e7widqwi[1].hta infected by "Trojan-Dropper.VBS.Inor.x" Virus! Action Taken: No Action Taken. File C:\DOKUME~1\jim_fear\LOKALE~1\TEMPOR~1\Content.IE5 \OLQF0XUN\m1984p16[1].txt infected by "Trojan-Dropper.Win32.Agent.jz" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3QSBJ54X\load[1].js infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3QSBJ54X\prompt[1].php infected by "Trojan-Downloader.JS.WinAD.a" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3QSBJ54X\prompt[2].php infected by "Trojan-Downloader.JS.WinAD.a" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HU3OXYZ\prompt[1].php infected by "Trojan-Downloader.JS.WinAD.a" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4NFF2K1P\a577a075[1].js infected by "Trojan-Downloader.JS.Small.af" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8FP3Q2Z1\get_js2[1].txt infected by "Trojan-Downloader.VBS.Phel.f" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8FP3Q2Z1\get_js2[1].txt infected by "Trojan-Downloader.VBS.Phel.f" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EUVOS0PB\m1984p16[1].txt infected by "Trojan-Dropper.Win32.Agent.jz" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FDTPKB74\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.j" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXO5MZG1\m1984p16[1].txt infected by "Trojan-Dropper.Win32.Agent.jz" Virus! Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OLQF0XUN\e7widqwi[1].hta infected by "Trojan-Dropper.VBS.Inor.x" Virus! Action Taken: No Action Taken File C:\Dokumente und Einstellungen\jim_fear\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OLQF0XUN\m1984p16[1].txt infected by "Trojan-Dropper.Win32.Agent.jz" Virus! Action Taken: No Action Taken. Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Wed May 18 13:28:28 2005 => Total Objects Scanned: 352970 Wed May 18 13:28:28 2005 => Total Virus(es) Found: 30 Wed May 18 13:28:29 2005 => Total Disinfected Files: 0 Wed May 18 13:28:29 2005 => Total Files Renamed: 0 Wed May 18 13:28:29 2005 => Total Deleted Objects: 0 Wed May 18 13:28:29 2005 => Total Errors: 40 Wed May 18 13:28:29 2005 => Time Elapsed: 04:36:20 Wed May 18 13:28:29 2005 => ***** Scanning complete. ***** Wed May 18 13:28:30 2005 => Virus Database Date: 2005/05/17 Wed May 18 13:28:30 2005 => Virus Database Count: 130488 Wed May 18 13:28:30 2005 => Scan Completed. --------------------------------------------------------------------------------- --Der Panda Scan hat keine Viren gefunden !! Spybot hat auch nichts gefunden ! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.05.2005, 14:25
Ehrenmitglied
Beiträge: 29434 |
#3
Hallo@jimfear
Ich muss dich ein wenig "beschaeftigen", um den Downloader vom Virus zu finden..... CCleaner--> loesche alle *temp-Datein, hake vor allem die index.dat an und starte den PC neu http://virus-protect.org/temp.html Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt Please download DllCompare from here http://www.atribune.org/downloads/DllCompare.exe <klick: Locate.com button. wenn der Scan beendet ist <klick:Compare button <klick: und erstelle das Log--->bitte posten silentrunners http://www.silentrunners.org/sr_download.html gehe auf: Zitat: Click here to download a zip file. hier die Erklaerung: http://www.silentrunners.org/sr_scriptuse.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor--> und poste alles, was angezeigt wird. # Laden Sie L2mfix von hier : http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe # Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe. # Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation. # Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix # Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen. # Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren. WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! # Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter]. # Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten. # Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL. # L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! # Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter]. # Dies stellt die Winlogon Standardeinstellungen wieder her. # Posten Sie einen aktuellen HijackThis Log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
habe schonmal das selbe problem auf nem anderen Board gepostet, hier die URL: http://forum.hijackthis.de/showthread.php?t=4403
leider wurde mir da bis jetzt noch nicht richtig weiter geholfen, ihr könnt euch ja mal durchlesen, was schon alles unternommen wurde, jedoch zwecklos, die Datei vurp.dll im Ordner Windows/system32 bekomm ich nicht weg.
Jedes mal wenn ich irc oder den Explorer öffne, sagt mir mein Virenprogramm (Antivir) das ich das "Trojanisches Pferd TR/Dldr.ConHook.D" habe.
habe keine Ahnung was ich noch machen soll, hat jemand eine Idee ??