Hallo,
ich brauche Hilfe!!

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Seit ein paar Wochen kriege ich ständig Virenmeldungen von Norton AntiVirus und es handelt es sich immer um Trojaner.
Die letzte Meldung (von heute) war:
„Norton Antivirus hat einen Virus auf ihrem Computer gefunden.
Objektname C:\Dokumente und Einstelungen***\Lokale Einstellunge\Temporary Internet Files\Content.IE5\UDEPQ47G\xc29[1].exe
Virenname Trojan.Nebuler
Aktion Die Datei konnte nicht repariert werden
Der Zugriff auf die Datei wurde verwehrt“
Dann noch eine zweite Warnung
„ Es wurde ein verdächtiges Sicherheitsrisiko blockiert
Risikoname Aware.Purityscan
Risikokategorie Adware
Aktion Die Datei wurde automatisch blockiert“

Und diese letzte Meldung hatte ich schon öfters gehabt.
Ich habe den Computer mit VundoFix V6.5.1 überprüfen lassen und er fand 3 infizierten Dateien.
C:WINDOWS\system32\mllmn.dll
C:WINDOWS\system32\nmllm.bak1
C:WINDOWS\system32\nmllm.ini

Sobald ich dann online gehe kriege ich neue Virenmeldung. Ich habe schon den Computer mehrmals mit Norton Antivirus überprüft, er findet aber gar nichts. Der VundoFix findet mal 3 mal 5 Dateien in C:Windows\system32, löscht die dann auch, der „Virenterror“ hört damit aber nicht auf.

Poste bitte ergänzend so ein LogFile:
http://www.trojaner-board.de/17493-a...ijackthis.html

Danke für die Antwort,
habe Anleitung gründlich durchgelesen und hoffe alles richtig gemacht
hier ist logFile
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:58:22, on 15.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\TEMP\win512.tmp.exe
C:\WINDOWS\mgrs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 Alcohol Software Product homepage - Alcohol 120% and Alcohol 52%
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.15\AsRunHelp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Flashget] C:\Programme\FlashGet\flashget.exe /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\qlpwaaqy.dll",forkonce
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\win512.tmp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ioi?aaeou a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Ioi?aaeou a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1178387121280
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1178387110748
O17 - HKLM\System\CCS\Services\Tcpip\..\{889C8186-AEF9-417C-9BBC-6B9FD667FD89}: NameServer = 217.237.149.205 217.237.151.51
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\fjaclgdu.exe (file missing)
O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Programme\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 11590 bytes



wollte jetzt VirusTotal ausprobieren und habe einfach eine Datei genommen (C:\WINDOWS\system32\qlpwaaqy.dll)
das ist der Ergebniss
File qlpwaaqy.dll received on 07.15.2007 22:44:46 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.

Print results Print
Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.42 2007.07.15 TR/PSW.Gamania.B
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.15 no virus found
BitDefender 7.2 2007.07.15 Trojan.Vundo.CG
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.15 no virus found
DrWeb 4.33 2007.07.15 Trojan.Virtumod
eSafe 7.0.15.0 2007.07.10 Suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 Win32/Vundo
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.15 Trojan-PWS.Gamania.B
Kaspersky 4.0.2.24 2007.07.15 no virus found
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 no virus found
NOD32v2 2399 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.15 Suspicious file
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 VIPRE.Suspicious
Symantec 10 2007.07.15 Trojan.Vundo
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 no virus found
VirusBuster 4.3.23:9 2007.07.15 no virus found
Webwasher-Gateway 6.0.1 2007.07.15 Trojan.PSW.Gamania.B
Aditional information
File size: 128576 bytes
MD5: 01e5464343ce97528cc4fec1a86a3ff5
SHA1: 449bb3392fbb0dc6d97b225af5c31655a29b8689
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
Ich habe davon echt nicht viel Ahnung, aber da kommt ziemlich oft der Name Trojaner vor. Ist die Datei infiziert? kann ich die einfach so löschen?

Dem System geht es überhaupt nicht gut. Prüf bitte noch diese Dateien bei Virustotal:

C:\WINDOWS\TEMP\win512.tmp.exe
C:\WINDOWS\mgrs.exe

Poste hier die Ergebnisse.

Aufgrund der schlechten Erkennungsraten durch AntiViren-Programme: Kannst Du die Datei C:\WINDOWS\system32\qlpwaaqy.dll wie hier unter Punkt A.) für eine andere Datei beschrieben einsenden? Das wäre hilfreich, Danke!

habe die Datei C:\WINDOWS\system32\qlpwaaqy.dll verschickt und hier Ergebniss von Viustotal
File win512.tmp.exe received on 07.15.2007 23:35:57
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.42 2007.07.15 TR/Dldr.Alphabet.LH1
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 Win32:Alphabet-C
AVG 7.5.0.476 2007.07.15 Generic5.HHH
BitDefender 7.2 2007.07.15 Generic.Drop.Alpha.E7DFA79F
CAT-QuickHeal 9.00 2007.07.14 (Suspicious) - DNAScan
ClamAV devel-20070416 2007.07.15 no virus found
DrWeb 4.33 2007.07.15 Trojan.DownLoader.25873
eSafe 7.0.15.0 2007.07.10 Suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 Trojan.Small
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 Nonaco!tr
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.15 Trojan-Downloader.Win32.Alphabet.h
Kaspersky 4.0.2.24 2007.07.15 Trojan-Downloader.Win32.Alphabet.h
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 TrojanDownloader:Win32/Nonaco.A
NOD32v2 2399 2007.07.14 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.15 Adware/DriveCleaner
Sophos 4.19.0 2007.07.06 Troj/Nonaco-Gen
Sunbelt 2.2.907.0 2007.07.14 Trojan.Drop.Alpha
Symantec 10 2007.07.15 Trojan Horse
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 Trojan.DownLoader.25873
VirusBuster 4.3.23:9 2007.07.15 no virus found
Webwasher-Gateway 6.0.1 2007.07.15 Trojan.Dldr.Alphabet.LH1
Aditional information
File size: 21504 bytes
MD5: 38d10d1860e69413ac0ed1bf41d6b0fc
SHA1: ab190a0bcb089118b089c8ad2ef078d4da40350c
packers: PECompact, PECompact
packers: PECOMPACT
packers: embedded, PecBundle, PECompact

Hier ist die zweite Datei von Virustotal
File mgrs.exe received on 07.15.2007 23:46:51 (CET)
Current status: finished
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.42 2007.07.15 TR/Dldr.Agent.11776
Authentium 4.93.8 2007.07.13 W32/Downloader2.AJVV
Avast 4.7.997.0 2007.07.13 Win32:Alphabet-C
AVG 7.5.0.476 2007.07.15 Clicker.GNS
BitDefender 7.2 2007.07.15 Generic.Dld.Alpha.EB472BE2
CAT-QuickHeal 9.00 2007.07.14 TrojanDownloader.Agent.gen
ClamAV devel-20070416 2007.07.15 no virus found
DrWeb 4.33 2007.07.15 Trojan.DownLoader.25873
eSafe 7.0.15.0 2007.07.10 Suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 Nonaco!tr
F-Prot 4.3.2.48 2007.07.13 W32/Downloader2.AJVV
Ikarus T3.1.1.8 2007.07.15 Trojan-Clicker.Win32.Agent.jb
Kaspersky 4.0.2.24 2007.07.15 Trojan-Downloader.Win32.Alphabet.h
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 TrojanDownloader:Win32/Small.gen!F
NOD32v2 2399 2007.07.14 probably a variant of Win32/TrojanClicker.Agent.NBS
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.15 Adware/Antivirus-gold
Sophos 4.19.0 2007.07.06 Troj/Nonaco-Gen
Sunbelt 2.2.907.0 2007.07.14 Trojan-Downloader.Win32.Small.gen!F
Symantec 10 2007.07.15 Downloader
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 no virus found
VirusBuster 4.3.23:9 2007.07.15 no virus found
Webwasher-Gateway 6.0.1 2007.07.15 Trojan.Dldr.Agent.11776
Aditional information
File size: 12288 bytes
MD5: 65fe4e5a99a3cf3f83cd044902943e13
SHA1: 131150c907a1c191ee734a19302bbc372e6b9f3f
packers: PECompact
packers: PECOMPACT

Und noch diese? ->
C:\WINDOWS\TEMP\win512.tmp.exe

Datei C:\WINDOWS\TEMP\win512.tmp.exe

File win512.tmp.exe received on 07.15.2007 23:35:57 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.

Print results Print
Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.42 2007.07.15 TR/Dldr.Alphabet.LH1
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 Win32:Alphabet-C
AVG 7.5.0.476 2007.07.15 Generic5.HHH
BitDefender 7.2 2007.07.15 Generic.Drop.Alpha.E7DFA79F
CAT-QuickHeal 9.00 2007.07.14 (Suspicious) - DNAScan
ClamAV devel-20070416 2007.07.15 no virus found
DrWeb 4.33 2007.07.15 Trojan.DownLoader.25873
eSafe 7.0.15.0 2007.07.10 Suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 Trojan.Small
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 Nonaco!tr
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.15 Trojan-Downloader.Win32.Alphabet.h
Kaspersky 4.0.2.24 2007.07.15 Trojan-Downloader.Win32.Alphabet.h
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 TrojanDownloader:Win32/Nonaco.A
NOD32v2 2399 2007.07.14 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.15 Adware/DriveCleaner
Sophos 4.19.0 2007.07.06 Troj/Nonaco-Gen
Sunbelt 2.2.907.0 2007.07.14 Trojan.Drop.Alpha
Symantec 10 2007.07.15 Trojan Horse
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 Trojan.DownLoader.25873
VirusBuster 4.3.23:9 2007.07.15 no virus found
Webwasher-Gateway 6.0.1 2007.07.15 Trojan.Dldr.Alphabet.LH1
Aditional information
File size: 21504 bytes
MD5: 38d10d1860e69413ac0ed1bf41d6b0fc
SHA1: ab190a0bcb089118b089c8ad2ef078d4da40350c
packers: PECompact, PECompact
packers: PECOMPACT
packers: embedded, PecBundle, PECompact

Bitte diese beiden Dateien auch noch mailen:

C:\WINDOWS\TEMP\win512.tmp.exe
C:\WINDOWS\mgrs.exe

Danach geht es dann weiter.

habe versendet

Bitte wie folgt vorgehen:

A.) Beende den Virenscanner und deaktiviere ihn vorläufig für nachfolgende Neustarts.

B.) Killbox laden: KillBox.Net

C.) Klick dort auf "Download KillBox" und speichere die dann geladene
Datei KillBox.exe in einem extra Ordner, den Du z.B. unter "Eigene
Dateien" neu anlegst. Diesen Ordner nennst Du z.B. "Analyse". Trenne die Internetverbindung.

D.) Führe "KillBox.exe" aus.

E.) Setze im sich öffnenden kleinen KillBox-Fenster den Punkt links auf
"Delete on Reboot".

F.) Jetzt wird rechts davon der Button "AllFiles" anklickbar. Klick darauf.

G.) Kopiere nun aus diesem Posting diese vier Pfade (nicht mehr und
nicht weniger, nur diese vier Zeilen, die hinter diesem Doppelpunkt folgen):

C:\WINDOWS\TEMP\win512.tmp.exe
C:\WINDOWS\mgrs.exe
C:\WINDOWS\system32\qlpwaaqy.dll
C:\WINDOWS\system32\fjaclgdu.exe

H.) Wechsele wieder zum KillBox-Fenster. Klick darin oben links auf
"File", dann "Paste from Clipboard".

I.) Klick nun in KillBox ganz rechts außen auf den roten Kreis mit dem
weißen Kreuz.

J.) Es kommt nun die Frage, ob das System neu gestartet werden soll.
Bestätige mit "Ja".

Melde Dich dann wieder hier mit einem neu erstellten LogFile.

erstmal danke für die die super Anleitung
hier ist die neue logFile

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Ok, soweit die erste Maßnahme.

Geh nun ähnlich vor, wie ich es in diesem Thread auf dieser Seite für Lily123 beschrieben hatte (siehe die ersten vier Postings von oben auf der Seite):

Wechsele ggf. erst nach Umkonfiguration der Anzeigeeinstellungen in den Ordneroptionen in den Ordner C:\!Killbox, schau nach, welche Dateien sich darin befinden und berichte dann hier.

Wichtig! Mit den bisherigen Maßnahmen ist das System NICHT zuverlässig gesäubert. Die Maßnahmen dienten nur dazu, Dir etwas "Luft" zu verschaffen, um Dich weitergehend informieren zu können.

Hallo,
puuuhhh ich habe jetzt noch mehr Probleme als vorher.
Es ist wieder ein Trojaner eingedrungen, wollte ihn mit Vundofix entfernen, der konnte aber eine Datei (C:\Windows\system32\ssttt.dll) auch nach dem Neustarten nicht entfernen. Allgemein passierte nach dem Neustarten gar nichts (der Vundo ist nicht einmal hochgefahren).Kann ich versuchen diese Datei mit Killbox zu entfernen?
Das zweite Problem: AutoProtect vom NortonAntivirus wird immer wieder deaktiviert.Wahrscheinlich von diesem neu eingedrungenem Virus.
Und beim Hochfahren von Windows bekomme ich immer Meldung
"RUNDLL
Fehler beim Laden von C:\Windows\яыеуь32\qlpwaaqy.dll
Das angegebene Modul wurde nicht gefunden". Wollte nur fragen ob das schlimm ist?

So und jetzt zum Inhalt von C:\!KillBox
Es befinden sich einmal die Datei "qlpwaaqy.dll"
und ein Ordner "Logs", in diesem Ordner ist ein Textokument "kb". Und das ist Inhalt dieser Textdatei

"Pocket Killbox version 2.0.0.881
Running on Windows XP as ***(Administrator)
was started @ Montag, Juli 16, 2007, 12:28 AM

# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\qlpwaaqy.dll


I Rebooted @ 12:30:02 AM
Killbox Closed(Exit) @ 12:30:04 AM
______________________________________________"


Was soll ich jetzt weiter machen? Neuausetzen ist für mich wohl unumgänglich, oder?