Virus: TR/VundoDLL.IJ

Internet Internet Sicherheit
1

Hi ihr wissenden,

ich brauche eure Hilfe :cry:

Also seit letztens wurde mein Rechner mit dem „Trojan horse“ „TR/VundoDLL.IJ“ infiziert. Ich benutze Antivir und jedes mal, wenn ich ein exe Datei benutze, zeigt sich ein Fenster mit „Virus indentifziert“. Virusdatei ist nnnkkli.dll in system32-Ordner, aber es lässt sich irgendwie nicht löschen. Es ist äusserst nervig und ausserdem weiss ich nicht, was das Ding genau einrichten kann.

Hab jetzt ne liste mit HijackThis gemacht und würde mich freuen, wenn jemand mir helfen könnte! =)

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\Windows\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Windows\system32\slserv.exe
C:\Windows\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Windows\system32\rundll32.exe
C:\WINDOWS\vsnpstd.exe
C:\Windows\system32\rundll32.exe
C:\Programme\VVSN\VVSN.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Windows\system32\taskmgr.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Chinaboy\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\QQ\QQIEHelper.dll
O2 - BHO: (no name) - {9E93A147-E3F9-47AB-BAF0-915CCAAA7034} - C:\Windows\system32\nnnkkli.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FlashGet\jccatch.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FlashGet\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM…\Run: [IMJPMIG8.1] „C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE“ /Spoil /RemAdvDef /Migration32
O4 - HKLM…\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM…\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM…\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM…\Run: [avgnt] „C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe“ /min
O4 - HKLM…\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,BluetoothAuthenticationAgent
O4 - HKLM…\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM…\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM…\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKLM…\Run: [BootSkin Startup Jobs] „C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe“ /StartupJobs
O4 - HKLM…\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM…\Run: [QuickTime Task] „C:\Programme\QuickTime\qttask.exe“ -atboottime
O4 - HKLM…\Run: [iTunesHelper] „D:\iTunes\iTunesHelper.exe“
O4 - HKCU…\Run: [VoipStunt] „D:\VoipStunt\VoipStunt.exe“ -nosplash -minimized
O4 - HKCU…\Run: [ctfmon.exe] C:\Windows\system32\ctfmon.exe
O4 - HKCU…\Run: [msnmsgr] „C:\Programme\MSN Messenger\msnmsgr.exe“ /background
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add to QQ Customized Emoticons - D:\QQ\AddEmotion.htm
O8 - Extra context menu item: Add to QQ Customized Panel - D:\QQ\AddPanel.htm
O8 - Extra context menu item: Add to QQ Emotions - D:\QQ\AddEmotion.htm
O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send picture by MMS - D:\QQ\SendMMS.htm
O8 - Extra context menu item: Send Picture with QQ MMS - D:\QQ\SendMMS.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Upload to QQ Network Hard Disk - D:\QQ\AddToNetDisk.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra ‚Tools‘ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra ‚Tools‘ menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - Extra ‚Tools‘ menuitem: Tencent QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra ‚Tools‘ menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe
O9 - Extra ‚Tools‘ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\QQ\QQIEHelper.dll
O9 - Extra ‚Tools‘ menuitem: QQìŲʹ¤¾ßÌõÉèÖà - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\QQ\QQIEHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra ‚Tools‘ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ‚Tools‘ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs…
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: nnnkkli - C:\Windows\SYSTEM32\nnnkkli.dll
O20 - Winlogon Notify: WgaLogon - C:\Windows\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\Windows\system32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\Windows\SYSTEM32\slserv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Schon mal Danke im Voraus!

Chingy

2

Hi ihr wissenden,

Hi Unwissender

ich brauche eure Hilfe :cry:

sie sei dir gewährt

Also seit letztens wurde mein Rechner mit dem „Trojan horse“
„TR/VundoDLL.IJ“ infiziert. Ich benutze Antivir und jedes mal,
wenn ich ein exe Datei benutze, zeigt sich ein Fenster mit
„Virus indentifziert“. Virusdatei ist nnnkkli.dll in
system32-Ordner, aber es lässt sich irgendwie nicht löschen.
Es ist äusserst nervig und ausserdem weiss ich nicht, was das
Ding genau einrichten kann.

Das Ding kann laut Beschreibung Auswirkungen:
• Änderung an der Registry
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer

Antivr, wie die meisten anderen A-Vir-Progis, findet nur den aktiven Teil von diesem Trojaner, die „Schaltzentrale“ sitzt im Hintergrund und lädt fleissig Malware nach, schickt die gesammelten Infos von deinem PC zu wem auch immer und kann ihn schlimmstenfalls fernsteuern.
Abhilfe: format C: und dein Backup aufspielen.
Solltest du wider aller Vernunft keins haben, hilft nur Neuinstallation.

Gruss
ExNicki

3

Also seit letztens wurde mein Rechner mit dem „Trojan horse“
„TR/VundoDLL.IJ“ infiziert.

Und du hast dabeigesessen und zugeschaut?

Ich benutze Antivir und jedes mal,
wenn ich ein exe Datei benutze, zeigt sich ein Fenster mit
„Virus indentifziert“. Virusdatei ist nnnkkli.dll in
system32-Ordner, aber es lässt sich irgendwie nicht löschen.
Es ist äusserst nervig und ausserdem weiss ich nicht, was das
Ding genau einrichten kann.

Klaus hat’s einen Thread weiter unten schon genau beschrieben: Spiel dein letztes sauberes Image wieder ein. Oder installiere deinen Rechner neu!

Nahezu alle aktuellen Schädlinge, die von einem Anti-Viren, Anti-Trojaner oder Anti-Irgendwas entdeckt werden können, dienen zunächst nur dazu, deinen Rechner plattzuschlagen, dass er weiteren Angriffen von aussen wehrlos ausgeliefert ist.

Sobald aber dieser Angriff von aussen einmal erfolgt ist, nutzt es dir garnichts mehr, das Einfallstor zuzumachen. Der Angreifer hat längst Hintertüren eingerichtet, die HiJackThis, die Avira, die Kaspersky usw höchstens mit viel Glück noch finden.

Vielleicht schaffst du’s, die nnnkkli.dll zu löschen. Wird den aktellen Eigentümer deines Rechners wenig scheren.

Gruss
Schorsch

Hab jetzt ne liste mit HijackThis gemacht

Dafür ist das auch gut