Hey leute!

Ich habe seit einer Woche, das Problem, dass ich, während ich surfe, regelmäßig Werbung öffnet.

Ich hab Windows XP.

Also hab ich mal mit e-scan im abgesicherten Modus mein system überprüft.

Hilfe! Ne Menge Trojaner, Adware, Spyware und Viren gefunden(53). Hab mal hier die Log-file:


Code:

Code: Alles auswählenAufklappen

ATTFilter

eScan Version: 9.8.9 
 
Dateien 

~~~~ Infected files 

Datei C:\WINDOWS\System32\tuvVNHby.dll infiziert durch den Virus "Trojan.Win32.Monderb.gen"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\WINDOWS\system32\vtUkjICr.dll infiziert durch den Virus "Trojan.Win32.Monderb.gen"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\WINDOWS\system32\tuvVNHby.dll infiziert durch den Virus "Trojan.Win32.Monderb.gen"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\WINDOWS\system32\vtUkjICr.dll infiziert durch den Virus "Trojan.Win32.Monderb.gen"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\WINDOWS\system32\tuvVNHby.dll infiziert durch den Virus "Trojan.Win32.Monderb.gen"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\WINDOWS\System32\tuvVNHby.dll infiziert durch den Virus "Trojan.Win32.Monderb.gen"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\WINDOWS\system32\tuvVNHby.dll infiziert durch den Virus "Trojan.Win32.Monderb.gen"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\WINDOWS\system32\vtUkjICr.dll infiziert durch den Virus "Trojan.Win32.Monderb.gen"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP153\A0112262.exe infiziert durch den Virus "NULL.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP153\A0113650.exe infiziert durch den Virus "HackTool.Win32.BruteForce.f"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP153\A0113655.exe//stream//data0006 infiziert durch den Virus "Trojan-Downloader.Win32.Banload.lwe"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP174\A0120797.exe infiziert durch den Virus "NULL.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP181\A0122605.exe infiziert durch den Virus "Trojan-Downloader.Win32.Banload.lwe"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP198\A0140236.exe infiziert durch den Virus "Exe.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP202\A0147760.exe//Armadillo infiziert durch den Virus "Backdoor.Win32.Bifrose.ays"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP221\A0185252.exe infiziert durch den Virus "Trojan-Downloader.Win32.Zlob.ort"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP224\A0185396.dll infiziert durch den Virus "Trojan.Win32.Monderb.gen"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP224\A0185439.dll infiziert durch den Virus "Trojan.Win32.Monderb.gen"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP225\A0185730.dll infiziert durch den Virus "Trojan.Win32.Monderb.gen"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP226\A0194427.dll infiziert durch den Virus "Trojan.Win32.Monder.rg"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP227\A0195547.dll infiziert durch den Virus "Trojan.Win32.Monder.up"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP227\A0199657.dll infiziert durch den Virus "Trojan.Win32.Monder.yu"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP227\A0200998.com infiziert durch den Virus "NULL.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP227\A0200999.com infiziert durch den Virus "NULL.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP227\A0201000.com infiziert durch den Virus "NULL.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP227\A0201001.com infiziert durch den Virus "NULL.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP227\A0201011.com infiziert durch den Virus "NULL.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP227\A0201037.com infiziert durch den Virus "NULL.Corrupted"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\WINDOWS\system32\tuvVNHby.dll infiziert durch den Virus "Trojan.Win32.Monderb.gen"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\WINDOWS\system32\vtUkjICr.dll infiziert durch den Virus "Trojan.Win32.Monderb.gen"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei D:\AUTORUN.INF infiziert durch den Virus "Fujack"!  Maßnahme ergriffen: No Action Taken. 

~~~~ Tagged files 

Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP153\A0113620.exe markiert als "not-virus:BadJoke.Win32.Delf.ay". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP153\A0113636.exe//stream//data0018 markiert als "not-virus:BadJoke.Win32.Delf.ab". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP189\A0129676.dll markiert als "not-a-virus:Monitor.Win32.Hooker.s". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP191\A0134076.exe//stream//data0121 markiert als "not-a-virus:Monitor.Win32.Hooker.s". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP226\A0187399.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.yry". Maßnahme ergriffen: Keine Maßnahme ergriffen. 

~~~~ Offending files 

Offending file found: C:\WINDOWS\TEMP\symlcsv1.exe 
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\programm-projekte\c++\cpp_programmierung-kapitel_15\main.exe 
Offending file found: C:\WINDOWS\system32\unrar.dll 
Offending file found: C:\WINDOWS\cookies.ini 
Offending file found: C:\WINDOWS\system32\iexplore.exe 
Offending file found: C:\windows\system32\iexplore.exe 
Offending file found: C:\WINDOWS\system32\mcrh.tmp 
Offending file found: C:\WINDOWS\explorer.exe.tmp 

~~~~ Spyware (Vorsicht: Oft Fehlalarm!) 

Scannen Spyware: Aktiviert 
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft ***** 
Loading Spyware Signatures from new External Database [Name: c:\Temp\spydb.avs, Size: 829071]. 
Indexed Spyware Databases Successfully Created... 
System found infected with combo Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{3c78b8e2-6c4d-11d1-ade2-0000f8754b99})! Action taken: Keine Maßnahme ergriffen. 
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Objekt "gain.gator Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 
System found infected with freespyscannerandremover Corrupted Adware/Spyware (symlcsv1.exe)! Action taken: Keine Maßnahme ergriffen. 
System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Maßnahme ergriffen. 
Objekt "tb_setup Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Objekt "tb_setup Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Maßnahme ergriffen. 
System found infected with combo Spyware/Adware (C:\WINDOWS\cookies.ini)! Action taken: Keine Maßnahme ergriffen. 
System found infected with eboscro Worm (C:\WINDOWS\system32\iexplore.exe)! Action taken: Keine Maßnahme ergriffen. 
System found infected with combo Spyware/Adware (C:\windows\system32\iexplore.exe)! Action taken: Keine Maßnahme ergriffen. 
System found infected with combo Spyware/Adware (hklm\software\microsoft\aoprndtws)! Action taken: Keine Maßnahme ergriffen. 
System found infected with combo Spyware/Adware (hkcu\software\microsoft\rdfa)! Action taken: Keine Maßnahme ergriffen. 
System found infected with combo Spyware/Adware (C:\WINDOWS\system32\mcrh.tmp)! Action taken: Keine Maßnahme ergriffen. 
System found infected with combo Spyware/Adware (C:\WINDOWS\explorer.exe.tmp)! Action taken: Keine Maßnahme ergriffen. 
System found infected with combo Spyware/Adware (hklm\software\microsoft\removerp)! Action taken: Keine Maßnahme ergriffen. 

Ordner 

Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\eigene videos\downloads\tb_setup 
Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Videos\downloads\tb_setup 

Registry 

Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{11a361b4-b0f3-11da-8f50-000f66732a28} !!! 
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8ad56836-53fe-11dc-90b2-0001e35eae61} !!! 
 
Diverses 

laufende Prozesse - commandline 

System Idle Process - 
System - 
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe - 
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe - 
svchost.exe - C:\WINDOWS\system32\svchost.exe -k netsvcs
svchost.exe - 
svchost.exe - 
aawservice.exe - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
explorer.exe - C:\WINDOWS\Explorer.EXE
mexe.com - "c:\Temp\mexe.com" 
ScanningProcess.exe - 
ctfmon.exe - ctfmon.exe
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\***\Desktop\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo 
wmiprvse.exe - 

Hosts-Datei 

DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1       localhost

Statistiken: 

Zahl der gescannten Objekte: 148029
Zahl der kritischen Objekte: 53
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 107
Zeit verstrichen: 02:12:11
         

Ich hoffe ihr könnt mir helfen, die dinger weg zu kriegen.

ThaHacker

Hallo ThaHacker und

- Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

- Lösche alle Dateien die unter "infected" aufgelistet sind mit Avenger.
Ohne die "SystemVol.." Dateien!

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

- Lade alle Dateien die unter "offending" aufgelistet sind auf VT hoch.

- Scanne dein System mit Hijackthis.
Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung


- Poste die VT Ergebnisse, das Avenger log sowie das HJT log.