Tr/dldr.conhook.q.2

#1 Hi.

Der Rechner von meiner Freundin ist anscheinend ein wenig infiziert. Die antivir personal edition zeigt andauernd an das sich der im titel genannte troyaner in der:

C:\WINDOWS\SYSTEM32\SSQRQ.DLL

versteckt. Wenn man nun auf löschen, zugriff verweigern oder löschen und ersetzen geht, hilft dies alles nichts.


das hijackthis logfile sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 10:41:50, on 11.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\A\AVPERSONAL\AVGUARD.EXE
C:\Programme\a\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Wied\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de8.hpwis.com/
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\ssqrq.dll
O2 - BHO: C:\WINDOWS\System32\ssc.dll - {055A4BE0-5355-4372-A39A-5E0CFF173600} - C:\WINDOWS\System32\ssc.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: C:\WINDOWS\System32\ssc.dll - {BC7FFA37-966F-442A-BB51-C623FC21CD82} - C:\WINDOWS\System32\ssc.dll (file missing)
O2 - BHO: MSEvents Object - {E835B8FB-250D-406D-A179-AAB104BF27CD} - C:\WINDOWS\Web\hardun.dll
O2 - BHO: Bho - {EFDAC3FE-F44A-4030-8589-1E23BC6573D5} - C:\DOKUME~1\Wied\LOKALE~1\Temp\ssg.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\a\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [xqax] fqe.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115989955515
O20 - Winlogon Notify: hardun - C:\WINDOWS\Web\hardun.dll
O20 - Winlogon Notify: ssqrq - C:\WINDOWS\SYSTEM32\ssqrq.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\A\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\a\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

vielen dank für eure hilfe




Habe jetzt auch mal die Datfind.bat drüber gejagt. Das ergebnis ist dieses:


Verzeichnis von C:\WINDOWS\system32

08.02.2006 09:10 1.158 wpa.dbl
29.01.2006 19:55 381.692 perfh009.dat
29.01.2006 19:55 53.436 perfc009.dat
29.01.2006 19:55 392.512 perfh007.dat
29.01.2006 19:55 64.452 perfc007.dat
29.01.2006 19:55 902.476 PerfStringBackup.INI
24.01.2006 21:14 90 spupdwxp.log
24.01.2006 21:13 248.696 FNTCACHE.DAT
04.01.2006 19:46 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 251.392 iepeers.dll
20.10.2005 23:25 1.094.144 esent.dll
17.10.2005 22:20 118.272 t2embed.dll
17.10.2005 22:20 80.896 fontsub.dll
13.10.2005 00:15 15.584 spmsg.dll
09.10.2005 10:04 118.804 ssg.dll
06.10.2005 16:47 28.173 ssqrq.dll
06.10.2005 04:08 1.839.616 win32k.sys

Verzeichnis von C:\DOKUME~1\Wied\LOKALE~1\Temp

11.02.2006 10:53 16.384 ~DFF181.tmp



Verzeichnis von C:\WINDOWS

11.02.2006 10:54 853 win.ini
11.02.2006 10:54 227 system.ini
11.02.2006 10:52 0 0.log
11.02.2006 10:52 159 wiadebug.log
11.02.2006 10:52 4.210 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
11.02.2006 10:52 1.993.888 WindowsUpdate.log
11.02.2006 10:52 50 wiaservc.log
11.02.2006 10:52 2.048 bootstat.dat
11.02.2006 10:51 32.528 SchedLgU.Txt
11.02.2006 10:20 2.901 mozver.dat
10.02.2006 20:08 743 LEXSTAT.INI
29.01.2006 21:36 51.673 setupapi.log
25.01.2006 23:51 157.517 comsetup.log
25.01.2006 23:51 95.733 ntdtcsetup.log
25.01.2006 23:51 99.234 iis6.log
25.01.2006 23:51 1.374 imsins.log
25.01.2006 23:51 17.392 ocmsn.log
25.01.2006 23:51 252.493 tsoc.log
25.01.2006 23:51 12.705 KB885250.log
25.01.2006 23:51 331.797 ocgen.log
25.01.2006 23:51 31.570 msgsocm.log
25.01.2006 23:51 636.989 FaxSetup.log
25.01.2006 23:51 1.374 imsins.BAK
25.01.2006 23:51 12.742 KB887742.log
25.01.2006 23:51 12.272 KB887472.log
25.01.2006 23:51 15.872 KB905915.log
25.01.2006 23:51 30.219 updspapi.log
25.01.2006 23:51 5.783 KB886185.log
25.01.2006 23:51 22.440 KB904706.log
25.01.2006 23:42 2.899 OEWABLog.txt
24.01.2006 23:10 1.121.610 setuplog.txt
24.01.2006 21:15 30.885 spupdsvc.log
24.01.2006 21:15 731 DtcInstall.log
24.01.2006 21:15 183.486 wmsetup.log
24.01.2006 21:15 316.640 WMSysPr9.prx
24.01.2006 18:36 434.833 svcpack.log
24.01.2006 18:36 197.812 KB912919.log
24.01.2006 18:35 208.772 KB910437.log
24.01.2006 18:34 195.175 KB908519.log
24.01.2006 18:33 197.005 KB905749.log
24.01.2006 18:32 203.815 KB905414.log
24.01.2006 18:31 221.941 KB902400.log
24.01.2006 18:30 203.251 KB901214.log
24.01.2006 18:29 214.017 KB901017.log
24.01.2006 18:29 202.410 KB900725.log
24.01.2006 18:28 213.882 KB899591.log
24.01.2006 18:27 214.991 KB899587.log
24.01.2006 18:26 194.496 KB896428.log
24.01.2006 18:25 215.332 KB896424.log
24.01.2006 18:25 212.948 KB896423.log
24.01.2006 18:24 213.430 KB896422.log
24.01.2006 18:23 212.354 KB896358.log
24.01.2006 18:23 214.429 KB893756.log
24.01.2006 18:22 203.683 KB893086.log
24.01.2006 18:21 222.974 KB893066.log
24.01.2006 18:20 193.482 KB891781.log
24.01.2006 18:20 213.368 KB890859.log
24.01.2006 18:19 193.872 KB890175.log
24.01.2006 18:18 204.307 KB890046.log
24.01.2006 18:17 191.889 KB888302.log
24.01.2006 18:17 191.757 KB888113.log
24.01.2006 18:16 192.127 KB885836.log
24.01.2006 18:15 210.429 KB885835.log
24.01.2006 18:15 191.907 KB873339.log
24.01.2006 18:14 196.857 KB873333.log
24.01.2006 18:13 1.114.117 setupapi.log.1.old
24.01.2006 18:10 200 cmsetacl.log
24.01.2006 18:09 8.485 sessmgr.setup.log
22.01.2006 23:04 20.108 KB898458.log
22.01.2006 23:04 25.333 KB905495.log
22.01.2006 23:01 11.496 KB905915-IE6SP1-20051122.175908.log
22.01.2006 22:59 9.325 KB835409.log
05.01.2006 16:19 5.782 COM+.log
25.12.2005 20:03 0 nsreg.dat
25.12.2005 20:03 107.132 UninstallFirefox.exe
10.11.2005 20:59 7.111 KB893803v2.log
10.11.2005 20:58 7.472 KB898461.log
19.10.2005 09:46 211 uno.ini



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 48AC-4ADA

Verzeichnis von C:\

11.02.2006 11:00 0 sys.txt
11.02.2006 10:59 10.126 system.txt
11.02.2006 10:59 282 systemtemp.txt
11.02.2006 10:57 98.354 system32.txt
11.02.2006 10:54 211 boot.ini
11.02.2006 10:52 536.399.872 hiberfil.sys
11.02.2006 10:52 805.306.368 pagefile.sys
24.01.2006 18:01 47.564 NTDETECT.COM
24.01.2006 18:01 251.184 ntldr
04.05.2004 20:43 14 win.log
04.05.2004 18:35 15 win2.log
24.11.2003 12:05 430 TO_InstallLog.txt
16.11.2003 13:07 300 s_def.txt
24.10.2003 18:57 12.662 POF$$THM.TOF
24.10.2003 18:50 73.302.528 CAPT000.avi
22.10.2003 16:28 0 hpcmerr.log
07.07.2003 12:02 312 IPH.PH
27.06.2003 14:40 0 IO.SYS
27.06.2003 14:40 0 MSDOS.SYS
27.06.2003 14:40 0 CONFIG.SYS
27.06.2003 14:40 0 AUTOEXEC.BAT
29.08.2002 13:00 4.952 bootfont.bin
22 Datei(en) 1.415.435.174 Bytes
0 Verzeichnis(se), 47.183.400.960 Bytes frei









Problem gelöst!

Vundo war der übeltäter.

wenn jmd ähnlihce probs hat hier ne feine anleitung:

http://www.bleepingcomputer.com/forums/topic18610.html