Hallo,
Ich habe seit kurzem ein Problem .
Und zwar meldet Anti Vir andauernd, dass die Datei
C:\WINDOWS\system32\mljggef.dll
Der Trojaner
TR/Spy.CptHook.2
sei. Wenn ich die Datei in Quarantäne verschiebe, den Zugriff verweigere oder sie lösche kommt erst nichts und wenig später der selbe Warnhinweis.
Google hat mir nicht geholfen (finde weder die .dll noch den Trojaner irgendwo)

Ich weiß nicht, ob es damit zusammenhängt, aber hin und wieder werde ich auch auf eine der typischen "Ihr System ist gefährdet, laden sie das Sicherheitsupdate runter" Seiten geleitet, die auch einen automatischen Download der sogenannten Sicherheitssoftware startet, den man glücklicherweise abbrechen kann.

Ich hoffe mir kann jemand einen Tipp geben.

Danke
dA_Fuzzi

Hi,

Hört sich sehr danach an als bräuchtes du diese Anleitung:
http://www.trojaner-board.de/30411-a...-von-zlob.html

Bevor du sie ausführst bitte erst ein HijackThis Logfile. Anleitung in meiner Signatur.

Logfile of HijackThis v1.99.1
Scan saved at 15:35, on 2007-05-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Programme\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\DOKUME~1\***\LOKALE~1\Temp\~AceTemp\hijackthis_199\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03aed6a064f5982edb00/netzip/RdxIE601_de.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe


Bekomme jetzt auch hin und wieder den Drive Cleaner.
Hoffe das hilft

hmm...

Arbeite die Anleitung erstmal ab die ich eben gepostet hab.

Melde dich dann wieder.

SmitFraudFix v2.188

Scan done at 15:57:21.56, 2007-05-30
Run from C:\Dokumente und Einstellungen\dA fUzZi\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA Rhine II Fast Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 195.50.140.250
DNS Server Search Order: 192.168.0.1

Description: D-Link AirPlus G DWL-G122 Wireless USB Adapter(rev.B) #5 - Paketplaner-Miniport
DNS Server Search Order: 195.50.140.250
DNS Server Search Order: 192.168.0.1

Description: VIA Rhine II Fast Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 195.50.140.250
DNS Server Search Order: 192.168.0.1

Description: D-Link AirPlus G DWL-G122 Wireless USB Adapter(rev.B) #5 - Paketplaner-Miniport
DNS Server Search Order: 195.50.140.250
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{23428751-2ED6-435A-AC7A-0BE883D79F3E}: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{60274B28-A0B0-4140-8D8E-E3E055389748}: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{61C2BC3B-012B-40C5-9B14-9D3A7E867ACA}: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{EBD8A203-666F-40A7-8A8D-7DF50A78B00C}: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5D524EC2-1193-4512-B4D4-4D8D7E35BBE6}: NameServer=145.253.2.11,145.253.2.75
HKLM\SYSTEM\CS1\Services\Tcpip\..\{60274B28-A0B0-4140-8D8E-E3E055389748}: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EBD8A203-666F-40A7-8A8D-7DF50A78B00C}: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{23428751-2ED6-435A-AC7A-0BE883D79F3E}: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{60274B28-A0B0-4140-8D8E-E3E055389748}: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{61C2BC3B-012B-40C5-9B14-9D3A7E867ACA}: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{EBD8A203-666F-40A7-8A8D-7DF50A78B00C}: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{23428751-2ED6-435A-AC7A-0BE883D79F3E}: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{60274B28-A0B0-4140-8D8E-E3E055389748}: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{61C2BC3B-012B-40C5-9B14-9D3A7E867ACA}: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{EBD8A203-666F-40A7-8A8D-7DF50A78B00C}: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=195.50.140.250 192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=195.50.140.250 192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



sagt meine rapport.txt

Das Problem besteht weiterhin. nervige meldungen bei quasi jedem klick den ich mache. Dann kommen pop-up seiten von

WinAntiVirus 2007
Celldorado
Und eine Seite bei der Coupons für Karstadt Quelle angeboten werden.

Einen eScan bitte
Anleitung in meiner Signatur.

Hi,
Also ich hab den Escan gemacht. hat ewig gedauert.
Dann hab ich die .bat Datei ausgeführt und es kam nichts in dem Fenster, wie in der anleitung steht.
Beim zweiten mal .bat ausführen war dann ein Pfad im fenster angegeben, in dem wiederrum eine tmp.txt war, die auf eine mwav.log verwies, in der die Log des "oberen" Fensters in Escan gespeichert war.
Was gneau muss ich jetzt machen?

*edit*
War nur zu ungeduldig.
Hier ist Das Logfile:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.05.07.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL 
    
eScan Version: 9.2.6 
Sprache: German 
C:\Dokumente und Einstellungen\dA fUzZi\Lokale Einstellungen\Temp\MWAV.LOG
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "prutect Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "zango Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen. 
 System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with schoeberl.e Trojan (C:\WINDOWS\system32\ipv6monl.dll)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
 Datei C:\WINDOWS\result.exe infiziert von "Trojan-Spy.Win32.BZub.ie" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\WINDOWS\system32\ipv6monl.dll infiziert von "Trojan-Spy.Win32.BZub.jn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\WINDOWS\system32\yoknspjn.dll infiziert von "Trojan-Spy.Win32.VBStat.h" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\Dokumente und Einstellungen\dA fUzZi\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\statistic.jar-b92fe2a-1ac7ce61.zip/BaaaaBaa.class infiziert von "Trojan.Java.ClassLoader.ao" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\WINDOWS\result.exe infiziert von "Trojan-Spy.Win32.BZub.ie" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\WINDOWS\system32\ipv6monl.dll infiziert von "Trojan-Spy.Win32.BZub.jn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\WINDOWS\system32\yoknspjn.dll infiziert von "Trojan-Spy.Win32.VBStat.h" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
 File C:\WINDOWS\system32\pmkhg.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\mljggef.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\mljggef.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\pmkhg.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\mljggef.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\pmkhg.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\ltttwqit.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\mljggef.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\mllmk.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\pmkhg.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\slkwkwgr.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\yayaaba.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\DOKUME~1\DAFUZZ~1\LOKALE~1\TEMPOR~1\Content.IE5\Q7K9AQ9J\installdrivecleanerstart_de[1].cab/UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\Dokumente und Einstellungen\dA fUzZi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q7K9AQ9J\installdrivecleanerstart_de[1].cab/UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\RECYCLER\S-1-5-21-436374069-1343024091-839522115-1003\Dc2\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\RECYCLER\S-1-5-21-436374069-1343024091-839522115-1003\Dc4.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\ltttwqit.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\mljggef.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\mllmk.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\pmkhg.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\slkwkwgr.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\yayaaba.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
 Offending file found: C:\WINDOWS\system32\process.exe 
 Offending file found: C:\WINDOWS\system32\swreg.exe 
 Offending file found: C:\WINDOWS\system32\swsc.exe 
 Offending file found: C:\WINDOWS\system32\ipv6monl.dll 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKLM\Software\magnet !!! 
 Offending Key found: HKLM\Software\ptech !!! 
 Offending Key found: HKCU\Software\mc !!! 
 Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\zango !!! 
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\urls !!! 
 Offending Key found: HKCU\\magnet !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b09f3a32-5b65-11db-bc29-000c768fb071} !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
 Invalid Entry DllName = WgaLogon.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon). Deleting Registry Key WgaLogon... 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\DOKUME~1\DAFUZZ~1\LOKALE~1\TEMPOR~1\Content.IE5\GLMVGL6B\quark-win32-20040521[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Dokumente und Einstellungen\dA fUzZi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GLMVGL6B\quark-win32-20040521[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 206717 
 Gefundene Viren: 42 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 202 
 Dauer des Scans bisher: 02:40:56 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 19:50:16.03 
Batchende: 19:52:06.57
         

hab erst jetzt bemerkt, dass hier ja mein prob bereits diskutiert wird.. naja, thread leider schon offen.. verfolge mal gespannt was hier noch so für ratschläge kommen

Ich scheine mir auf jeden Fall gut den PC zerschossen zu haben.
Alles läuft langsam und die nervigen Poups hören nicht auf.
Ich sichere schon die Dinge, die ich nicht verlieren will, falls es wirklich zu Ende geht -.-

Check mal dein System mit dem Proggi, hat bei mir irgendwas gebracht (wenigstens werd ich nimma zugespamt). Aber kA obs was bei dir bringt.

http://www.atribune.org/public-beta/VundoFix.exe

- saugen
- suchen
- remove

Hi,
Also dein Tipp hat auf jeden Fall was gefunden. Ob es jetzt viel geholfen hat weiß ich noch nicht aber ich glaube mein PC hat etwas schneller gebootet als vorher und ich meine die Warneldungen von AntiVir sind auch weniger geworden.
Danke für den Tipp.
Ich würde trotzdem gerne noch einen Kommentar von Apocalypt zu meinem Escan Log bekommen, wenns geht.

Danke
dA_Fuzzi

Hi
Benutz die Anleitung zu Avenger in meiner Signatur.
Dein Script lautet:

Zitat:

Files to delete:
C:\WINDOWS\result.exe
C:\WINDOWS\system32\ipv6monl.dll
C:\WINDOWS\system32\yoknspjn.dll
C:\WINDOWS\system32\pmkhg.dll
C:\WINDOWS\system32\mljggef.dll
C:\WINDOWS\system32\ltttwqit.dll
C:\WINDOWS\system32\mllmk.dll
C:\WINDOWS\system32\slkwkwgr.dll

Anschließend lad dir den CCleaner und lass dein System entmüllen.


Einige der Dateien werden bei Avenger wahrscheinlich nicht mehr zu finden sein, da Vundofix sie gelöscht hat. Das ist nicht weiter schlimm Klick dann einfach auf Fortfahren.

Danach einen neuen eScan. Bis dann,
Apo

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.07.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.6
Sprache: German
C:\Dokumente und Einstellungen\dA fUzZi\Lokale Einstellungen\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "prutect Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zango Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\dA fUzZi\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\statistic.jar-b92fe2a-1ac7ce61.zip/BaaaaBaa.class infiziert von "Trojan.Java.ClassLoader.ao" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\VundoFix Backups\ltttwqit.dll.bad//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\mllmk.dll.bad//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\pmkhg.dll.bad//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\slkwkwgr.dll.bad//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKLM\Software\ptech !!!
Offending Key found: HKCU\Software\mc !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\zango !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\urls !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b09f3a32-5b65-11db-bc29-000c768fb071} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = mljggef.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljggef). Deleting Registry Key mljggef...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 184409
Gefundene Viren: 17
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 200
Dauer des Scans bisher: 02:26:52
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:25:56.18
Batchende: 14:28:59.46


sieht ja schon was besser aus ^^