Browser spielt "dank" VX2 verrückt, und ich bekomme ihn nicht entfernt!

#1 Guten Tag,

ich habe seit gestern ein großes Problem mit der Malware "VX2"! Ad-aware findet ihn bei jedem Durchlauf, mit dem Add-On VX2Cleaner kann ich ihn nicht entfernen, manuell geht es auch nicht. Hier mal einige Log-Dateien:

HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 13:55:25, on 11.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\taskswitch.exe
F:\Internet\Java\jre1.5.0_06\bin\jusched.exe
F:\System\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
F:\System\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\devldr32.exe
F:\Multimedia\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
F:\INTERNET\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\explorer.exe
D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Internet\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\System Files Updater.exe /S
O4 - HKLM\..\Run: [Adobe Photo Downloader] "F:\Multimedia\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "F:\System\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [WallPaper] F:\MULTIM~1\WALLPA~1\WALLPA~1.EXE /h
O4 - Startup: Miranda IM.lnk = F:\Internet\Miranda IM\miranda32.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Multimedia\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Alles mit FlashGet laden - F:\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - F:\Internet\FlashGet\jc_link.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137162914656
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E776365-E543-4773-A79A-2FA541C7B37F}: NameServer = 192.168.0.254
O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\gp6ol3j31.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Multimedia\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Ad-aware:


Ad-Aware SE Build 1.06r1
Logfile Created on:Samstag, 11. Februar 2006 13:55:53
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R91 08.02.2006
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
VX2(TAC index:10):1 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Search for low-risk Thread
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


11.02.2006 13:55:53 - Scan started. (Smart mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 776
ThreadCreationTime : 11.02.2006 12:12:47
BasePriority : Normal


#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 876
ThreadCreationTime : 11.02.2006 12:12:50
BasePriority : High


VX2 Object Recognized!
Type : Process
Data : gp6ol3j31.dll
TAC Rating : 10
Category : Malware
Comment : uneg.dll
Object : C:\WINDOWS\system32\


Warning! VX2 Object found in memory(C:\WINDOWS\system32\gp6ol3j31.dll)


Ich bin wirklich ratlos! Was kann ich machen, damit VX2 entfernt wird?

#2 DeeJay86

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Ich hab auch den VX2 und bekomm ihn nicht weg! Hier mein Log! Sind sicherlich auch sonst einige Sachen dabei die ich raushauen kann, ich bin überhaupt kein PC Spezialist und mein PC hat einige Macken. zB fährt er Minutenlang hoch. Wenn ich mich in mein Konto einlogge, dann erscheint mein Hintergrundbild, aber bis die Symbole und Startzeile erscheinen passiert erstaml nichts. Auslastung ist die ganze Zeit, bis er endlich zu laden anfängt ganz unten.

Logfile of HijackThis v1.99.1
Scan saved at 18:54:59, on 2.3.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
CrogrammeAVPersonalAVWUPSRV.EXE
C:WINDOWSSystem32svchost.exe
CrogrammeGemeinsame DateienSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32cisvc.exe
CrogrammeGemeinsame DateienMicrosoft SharedVS7Debugmdm.exe
CrogrammeNorton AntiVirusnavapsvc.exe
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32svchost.exe
CrogrammeTrend MicroPC-cillin 2002PCCPFW.exe
C:WINDOWSExplorer.EXE
CrogrammeT-OnlineT-Online_Software_5Basis-SoftwareBasis1ToADiMon.exe
CrogrammeQuickTimeqttask.exe
C:WINDOWSSYSTEM32USRmlnkA.exe
C:WINDOWSSOUNDMAN.EXE
C:WINDOWSSystem32RUNDLL32.EXE
C:WINDOWSSYSTEM32USRshutA.exe
C:WINDOWSSYSTEM32USRmlnkA.exe
C:WINDOWSSystem32P2P NetworkingP2P Networking.exe
C:WINDOWSsystem32crrr32.exe
C:WINDOWSienh32.exe
COKUME~1SusanneLOKALE~1Temp78.tmp.exe
C:WINDOWSSystem32ctfmon.exe
CrogrammeMSN Messengermsnmsgr.exe
CrogrammeTBONBintbon.exe
CrogrammeT-OnlineT-Online_Software_5Basis-SoftwareBasis2kernel.exe
CrogrammeT-OnlineT-Online_Software_5Basis-SoftwareBasis2sc_watch.exe
CROGRA~1T-OnlineT-ONLI~1BASIS-~1Basis2PROFIL~1.EXE
C:WINDOWSSystem32wuauclt.exe
C:WINDOWSsystem32cidaemon.exe
CROGRA~1MOZILL~1FIREFOX.EXE
Cokumente und EinstellungenSusanneDesktopHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSuooap.dll/sp.html#28129%resultposition.net
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSuooap.dll/sp.html#28129%resultposition.net
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSuooap.dll/sp.html#28129%resultposition.net
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSuooap.dll/sp.html#28129%resultposition.net
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSuooap.dll/sp.html#28129%resultposition.net
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSuooap.dll/sp.html#28129%resultposition.net
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSuooap.dll/sp.html#28129%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5A2F5E36-BFC8-2FEE-9B04-F75C45684B5A} - (no file)
O2 - BHO: Class - {A388C50A-4534-CBD9-16B6-36A674986F98} - C:WINDOWSsystem32atlbz.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - CrogrammeNorton AntiVirusNavShExt.dll
O2 - BHO: Class - {D1CD1D3E-77D8-5E66-C7CC-DEDD603B06F6} - C:WINDOWSsystem32crlp.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - CrogrammeNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [CloneCDElbyCDFL] "CrogrammeElaborate BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [ToADiMon.exe] CrogrammeT-OnlineT-Online_Software_5Basis-SoftwareBasis1ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM..Run: [NAVNet] "C:ms32.exe" /m
O4 - HKLM..Run: [QuickTime Task] "CrogrammeQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [USRpdA] C:WINDOWSSYSTEM32USRmlnkA.exe RunServices Device3cpipe-USRpdA
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [P2P Networking] C:WINDOWSSystem32P2P NetworkingP2P Networking.exe /AUTOSTART
O4 - HKLM..Run: [SemanticInsight] CrogrammeRXToolBarSemantic InsightSemanticInsight.exe
O4 - HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
O4 - HKLM..Run: [crrr32.exe] C:WINDOWSsystem32crrr32.exe
O4 - HKLM..Run: [78.tmp] COKUME~1SusanneLOKALE~1Temp78.tmp.exe
O4 - HKLM..Run: [78.tmp.exe] COKUME~1SusanneLOKALE~1Temp78.tmp.exe
O4 - HKLM..Run: [PinnacleDriverCheck] C:WINDOWSSystem32PSDrvCheck.exe -CheckReg
O4 - HKLM..Run: [KAZAA] CrogrammeKazaakazaa.exe /SYSTRAY
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "CrogrammeMessengermsmsgs.exe" /background
O4 - HKCU..Run: [Steam] "D:STEAMSteam.exe" -silent
O4 - HKCU..Run: [msnmsgr] "CrogrammeMSN Messengermsnmsgr.exe" /background
O4 - HKCU..Run: [tbon] CrogrammeTBONBintbon.exe /r
O8 - Extra context menu item: &Search - http://ku.bar.need2find.com/KU/menusearch.html?p=KU
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://CROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - CrogrammeJavajre1.5.0_06binssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - CrogrammeJavajre1.5.0_06binssv.dll (file missing)
O10 - Broken Internet access because of LSP provider 'crogrammenewdotnetnewdotnet6_38.dll' missing
O12 - Plugin for .spop: CrogrammeInternet ExplorerPluginsNPDocBox.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O17 - HKLMSystemCCSServicesTcpip..{BDB98C23-64ED-4889-923B-D77CF34D92E9}: NameServer = 217.237.151.97 217.237.149.225
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:WINDOWSienh32.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - CrogrammeAVPersonalAVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - CrogrammeGemeinsame DateienSymantec SharedccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - CrogrammeGemeinsame DateienSymantec SharedccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - CrogrammeGemeinsame DateienInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - CrogrammeiPodbiniPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - CrogrammeNorton AntiVirusnavapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - CrogrammeTrend MicroPC-cillin 2002PCCPFW.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - CROGRA~1GEMEIN~1SYMANT~1SCRIPT~1SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - CrogrammeGemeinsame DateienSymantec SharedSNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - CrogrammeGemeinsame DateienSymantec SharedSecurity CenterSymWSC.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - CrogrammeTrend MicroPC-cillin 2002Tmntsrv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - CrogrammeT-DSL SpeedManagertsmsvc.exe

#4 Arik-Buka - Susanne

suche deine XP-CD und formatiere.. und verzichte in Zukunft auf P2P-Programme
(und lade auch aufs formatierten System die Windowsupdates)
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Ok, noch eine Anfängerfrage: Wie kann ich die Sachen "entfernen" ?
Könnte es auch daran liegen mit dem langen Hochfahren, dass zu viele Programme im Autostart sind, oder zuviele Sachen gleichzeitig laufen ? Bei meinem Konto laufen in der Regel um die 50 Prozesse. Und bei den anderen Konten auf dm PC sind es immer nur ein paar.

#6 es gibt nichts mehr zu entfernen, suche deine XP-CD und eventuell Hilfe und formatiere
(der PC besteht nur noch aus Viren...........)

Zitat

suche deine XP-CD und formatiere.. und verzichte in Zukunft auf P2P-Programme
(und lade auch aufs formatierten System die Windowsupdates

__________
MfG Sabina

rund um die PC-Sicherheit