Trojaner: Generic 12.ATMV

UnR0cKbaR · 13. Januar 2009, 20:51

Hallo liebe Community,

meine Freundin hat folgendes Problem, und zwar hat sie sich einen Trojaner mit der Bezeichnung Trojaner: Generic 12.ATMV, welche mir AVG Anti Virus 8.0, liefert, eingefangen.

Was macht er?
- Das Internet ist auffallend langsam (~10 Sekunden Ladezeit von Google)
(es kann nicht am Netzwerk / Anbindung liegen da mein Bruder normalschnell runterlädt und auch surft)

- Es öffnen sich ständig 2 verschiedene Internet"seiten", jedoch ohne jeglichen Inhalt, also eine weiße Seite

- Die CPU Auslastung ist dauerhaft bei 100%, wobei ich glaube dass dies an Firefox liegt

- Abundzu bleibt der Rechner beim booten beim "Herzlich Willkommen" Bildschrim hängen

Bereits dagegen versucht zu tun?
- Ich hab Bereits nach der Bezeichnung des Viruses gesucht, jedoch kein ergebnis von Google bekommen

- Hijack This log zeigt auch nichts an (siehe unten)

Hijack This Log:

Quellcode

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:03:56, on 13.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\RTHDCPL.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\PROGRA~1\AVG8~1\avgtray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINXP\system32\rundll32.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG8~1\avgwdsvc.exe
C:\PROGRA~1\AVG8~1\avgfws8.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\PROGRA~1\AVG8~1\avgam.exe
C:\PROGRA~1\AVG8~1\avgemc.exe
C:\PROGRA~1\AVG8~1\avgrsx.exe
C:\PROGRA~1\AVG8~1\avgnsx.exe
C:\Programme\AVG 8\avgcsrvx.exe
C:\Programme\AVG 8\avgcsrvx.exe
C:\Programme\AVG 8\avgui.exe
C:\Programme\AVG 8\avgscanx.exe
C:\Programme\AVG 8\avgcsrvx.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\AVG 8\avgcsrvx.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\system32\rundll32.exe
C:\Programme\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)
O2 - BHO: (no name) - {31267D8E-C858-44A0-94E5-B9CA65998E3F} - C:\WINXP\system32\yayVLdEu.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: {df49f3df-ce4b-b68b-d154-c1e5f9a3fc5c} - {c5cf3a9f-5e1c-451d-b86b-b4ecfd3f94fd} - C:\WINXP\system32\szmuwa.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG8~1\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [38fd5d0d] rundll32.exe "C:\WINXP\system32\tcjapikt.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG 8\avgpp.dll
O20 - AppInit_DLLs: szmuwa.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINXP\SYSTEM32\avgrsstx.dll
O20 - Winlogon Notify: qoMeBqOg - qoMeBqOg.dll (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG8~1\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG8~1\avgwdsvc.exe
O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG8~1\avgfws8.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
--
End of file - 7896 bytes

Alles anzeigen

Würde mich über schnelle Hilfe sehr freuen

Liebe Grüße UnR0cKbaR

Ineedhelp!2nd · 13. Januar 2009, 21:27

UnR0cKbaR schrieb:

Trojaner: Generic 12.ATMV, welche mir AVG Anti Virus 8.0, liefert

Hallo

Zuerst müssen wir wissen, wo besagte Datei gefunden wurde (Speicherort).

Zu deinem Log:
Suche auf deinem Sys nach einer Datei mit Namen "szmuwa.dll". Wenn du sie findest, lade sie auf virustotal.com hoch und poste das Ergebnis.

Sonst ok!

Lade dir den CCleaner und lasse damit Registry und temporäre Dateien löschen. Die Registry musst du mehrmals bereinigen und solltest sie vorher Backuppen.

Mache dann bitte zur Grobanalyse einen Scan mit Malwarebytes (Anleitung siehe Signatur). Poste dann das Logfile.

Dann nimmst du die Hijackthis.exe und benennst sie um in "dubi.com", starte diese Datei dann und mache ein neues Log, poste dieses hier.

Mfg

UnR0cKbaR · 14. Januar 2009, 17:16

gut >< freundin hat sich nun entschlossen zu formatieren weil ihr das zu viel arbeit sei und sie krank ist x3

trotzdem vielen dank an dich "Ineedhelp!2nd" =)

Liebe Grüße UnR0cKbaR

PS: Kann geclosed werden

Allonewalk · 15. Januar 2009, 12:30

Na dann mache ich hier dicht!

MfG Allonewalk

Quellcode

Teilen