TR/Agent.33302 in Programmbibliothek

#1 Hallo,

ein Virus plagt mich! AntiVir versagt, die Deaktivierierung der Systemwiederherstellung brachte nichts. Eine infizierte Bibliotheksdatei (xxyxwuv.dll) lässt sich auch mit Unlocker nicht löschen (Doch, aber dann schmiert das System ab). Kann mir bitte jemand helfen? Der Virus will mir Virenschützer verkaufen...

Highjackthis-Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 17:36:07, on 15.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ASUS\Asus ChkMail\ChkMail.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
O3 - Toolbar: (no name) - {74a49269-9779-48b4-a0e6-3a5af2a3ade6} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\avxqmpvv.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\MSINF16H.EXE
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159874049875
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j0211238.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

Ich hoffe auf Hilfe und ertrage den Warn-Peep nicht mehr lange!

Danke, wisslo

#2 Das ist eine neuere Vundo Variante.

Nutze bitte vundofix: http://www.atribune.org/content/view/24/2/
und Combofix: http://virus-protect.org/artikel/tools/combofix.html

Poste bitte beide Ergebnisse.
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo, zunächst schön, dass ich so schnell Rückmeldung bekomme:

zu vundo: der sagt mir, dass er keine infizierten Dateien gefunden habe.

zu combofix hier das Protokoll


ComboFix 07-06-13.3 - C:\Meine Downloads\ComboFix.exe
"~~~~~~~" - 2007-06-15 18:08:06 - Service Pack 2


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\ccexvmvd.dll
C:\WINDOWS\system32\ubohauop.dll
C:\WINDOWS\system32\avxqmpvv.dll
C:\WINDOWS\system32\dvmvxecc.ini
C:\WINDOWS\system32\pouahobu.ini
C:\WINDOWS\system32\vvpmqxva.ini
C:\WINDOWS\system32\rttss.tmp
C:\WINDOWS\system32\rttss.ini
C:\WINDOWS\system32\rttss.bak2
C:\WINDOWS\system32\rttss.ini2
C:\WINDOWS\system32\rttss.bak1
C:\WINDOWS\system32\rttss.tmp
C:\WINDOWS\system32\rttss.ini
C:\WINDOWS\system32\rttss.bak2
C:\WINDOWS\system32\rttss.ini2
C:\WINDOWS\system32\rttss.bak1
C:\WINDOWS\system32\rttss.tmp
C:\WINDOWS\system32\rttss.ini
C:\WINDOWS\system32\rttss.bak2
C:\WINDOWS\system32\rttss.ini2
C:\WINDOWS\system32\rttss.bak1
C:\WINDOWS\system32\ssttr.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((( Files Created from 2007-05-15 to 2007-06-15 )))))))))))))))))))))))))))))))


2007-06-15 18:07 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-15 17:49 <DIR> d-------- C:\Programme\OpenOffice.org 2.2
2007-06-15 12:28 <DIR> d-------- C:\!Submit
2007-06-14 17:49 <DIR> d-------- C:\DOKUME~1\JANPHI~1.NAM\ANWEND~1\Talkback
2007-06-11 11:21 571 --a------ C:\WINDOWS\eReg.dat
2007-06-10 16:43 33,302 --------- C:\WINDOWS\system32\xxyxwuv.dll
2007-06-06 16:34 <DIR> d-------- C:\DOKUME~1\JANPHI~1.NAM\ANWEND~1\gtk-2.0
2007-06-06 16:34 <DIR> d-------- C:\DOKUME~1\JANPHI~1.NAM\.thumbnails
2007-06-06 16:31 <DIR> d-------- C:\DOKUME~1\JANPHI~1.NAM\.gimp-2.2
2007-05-31 14:05 452,096 --a------ C:\WINDOWS\system32\fxsapi.dll
2007-05-27 22:40 <DIR> d-------- C:\Programme\OpenOffice.org1.1.5
2007-05-25 14:21 <DIR> d-------- C:\DOKUME~1\JANPHI~1.NAM\ANWEND~1\FlashGet
2007-05-15 08:54 <DIR> d-------- C:\DOKUME~1\JANPHI~1.NAM\ANWEND~1\MusicIP
2007-05-15 08:52 26,408 --a------ C:\WINDOWS\system32\wpdurace.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-14 14:51:28 45,056 ----a-w C:\WINDOWS\system32\acovcnt.exe
2007-05-31 07:15:52 69,632 ----a-w C:\WINDOWS\uinst001.exe
2007-05-27 20:04:40 49,152 ----a-w C:\WINDOWS\md5sum.exe
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-12 09:16:34 -------- d-----w C:\DOKUME~1\JANPHI~1.NAM\ANWEND~1\CBL-Electronics
2007-05-12 08:32:12 -------- d-----w C:\Programme\Gemeinsame Dateien\Sprintbit Software
2007-05-11 09:30:30 -------- d-----w C:\Programme\Gemeinsame Dateien\Borland Shared
2007-05-07 22:14:54 4,103,032 ----a-w C:\WINDOWS\system32\SpoonUninstall.exe
2007-04-25 14:22:28 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-03-17 13:44:26 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-15 12:23:16 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-03-15 08:12:28 1,870 ----a-w C:\WINDOWS\uninst_7335.dat
2007-03-15 08:12:10 637,620 ----a-w C:\WINDOWS\uninst_7335.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{1B8D0F92-8695-4D5B-87D1-A0BDDBCE3C59}=C:\WINDOWS\system32\wpdurace.dll [2007-05-15 08:52]
{8A61098D-612B-4EF2-943D-64E920684061}=C:\WINDOWS\system32\xxyxwuv.dll [2007-06-10 16:43]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19]
"UserFaultCheck"="%systemroot%\system32\dumprep 0 -u" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{8A61098D-612B-4EF2-943D-64E920684061}"="C:\WINDOWS\system32\xxyxwuv.dll" [2007-06-10 16:43]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyxwuv]
xxyxwuv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerForPhone]
C:\Programme\ASUS\PowerForPhone\PowerForPhone.exe


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-15 18:13:10
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Files hidden from API:
C:\WINDOWS\Pr„riewind.bmp
C:\WINDOWS\F„cher.bmp

Completion time: 2007-06-15 18:15:13 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-15 18:14

--- E O F ---

Hilft uns das weiter?

Schite, der piepst immer öfter...

#4 Hm, schau bitte, ob du C:\WINDOWS\system32\xxyxwuv.dll loeschen kannst.
__________
MfG Ralf
SEO-Spam Hunter

#5 Des gibbs do gor nich, der gäht! So ne Scheise ,der gäht un ich resche mich üff am Wochenende under gäht! Oaaahh Wundaba!

Ich habe die xxyxwvu.dll umbenannt, löschen konnte ich sie trotzdem nicht. Also Systemwiederherstellung deaktiviert, Neustart, Virenscan ohne Fund, Systemwiederherstellung aktiviert, Neustart, Virenscan ohne Fund.

Die umbenannte Datei ist nicht mehr auffindbar.

Hoffe das war´s, Danke für die Bemühungen!