Seit einiger Zeit hab ich ein Problem mit meinem Antivir:

- in unregelmäßigen Abständen (oft bei Öffnen eines Ordners etc.) schlägt es Alarm und stört mit unlöschbaren Dateien und einem Trojaner namens TR/Crypt.XPACK.Gen
- manchmal findet es auch so einen Trojaner mit Vundo im Namen oder so
- jedenfalls kann man die Dateien nicht löschen und auch z.B. Quarantäne bringt nichts -> sie kommen immer zurück
- außerdem leidet mein IE unter Werbeflut und Dauer-Link-Geöffne (zum Glück find ich Firefox eh besser)
- und nochwas: zuweilen ist mein Sytem extrem instabil, insbesondere der Explorer ist mir sicher über hundert Mal abgekackt seit dem ersten Fund
- zu Leistungseinbußen wegn Virenbefall kann ich nichts sagn bloß bei Titan Quest ist mir aufgefalln, dass es mehr ruckelt als zuvor (kann ich mir auch bloß einbilden)



Hier jetzt noch mein HJT - Log und großes Dankeschön im Vorraus:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:42:55, on 18.08.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\avmwlanstick\FRITZWLANMini.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\TextBridge Pro 9.0\Bin\InstantAccess.exe
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\Windows\vsnpstd3.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ShutDownKoenig\sdkpro.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\Taskmgr.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Users\garyBig\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {8AA77ADE-D316-4BB6-B88F-C57290D2702C} - C:\Windows\system32\byXPFVOe.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {9165fe52-83c8-0eb8-a7e4-3ddcd9aec36d} - {d63cea9d-cdd3-4e7a-8be0-8c3825ef5619} - C:\Windows\system32\dyyyaqnj.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TVBroadcast] C:\Program Files\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FixCamera] C:\Windows\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\Windows\tsnpstd3.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\nnnkLbyY.dll,#1
O4 - HKLM\..\Run: [snpstd3] C:\Windows\vsnpstd3.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SDK] C:\Program Files\ShutDownKoenig\sdkpro.exe
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\garyBig\AppData\Local\Temp\nnnkJDwW.dll,#1
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIDIA nTune] C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe resetprofile
O4 - HKCU\..\Run: [2a21becd] rundll32.exe "C:\Users\garyBig\AppData\Local\Temp\ktmyhhsm.dll",b
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [BM29128d51] Rundll32.exe "C:\Users\garyBig\AppData\Local\Temp\ktuppdau.dll",s
O4 - Startup: Registration Heroes of Might & Magic 5.LNK = C:\Program Files\Ubisoft\Heroes of Might and Magic V\registration\RegistrationReminder.exe
O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubisoft\Eagle Dynamics\Lock On\Register\schedule.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe
O23 - Service: GnabService - Empolis GmbH - c:\program files\common files\gnab\service\servicecontroller.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9642 bytes

Hi,

Zitat:

- in unregelmäßigen Abständen (oft bei Öffnen eines Ordners etc.) schlägt es Alarm und stört mit unlöschbaren Dateien und einem Trojaner namens TR/Crypt.XPACK.Gen
- manchmal findet es auch so einen Trojaner mit Vundo im Namen oder so

Bitte gib den genauen Bericht von Avira bzw. Pfadangabe an.

Zitat:

- und nochwas: zuweilen ist mein Sytem extrem instabil, insbesondere der Explorer ist mir sicher über hundert Mal abgekackt seit dem ersten Fund

Runtime Error? Poste bitte auch hier die genaue Fehlermeldung.

Zum Logfile, gehe bitte die folgenden Schritte der Reihenfolge durch:

1.)

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\system32\byXPFVOe.dll
C:\Windows\system32\dyyyaqnj.dll
C:\Windows\system32\nnnkLbyY.dll
C:\Users\garyBig\AppData\Local\Temp\nnnkJDwW.dll
C:\Users\garyBig\AppData\Local\Temp\ktmyhhsm.dll
C:\Users\garyBig\AppData\Local\Temp\ktuppdau.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

2.)
Lade dir MalwareBytes Anti-Malware und gehe genau nach der Anleitung vor.
Nebenbei solltest du deine alten Java-Versionen deinstallieren und (falls benötigt) die neueste (Java 6 Update 7) installieren.

mfg

Zitat:

Bitte gib den genauen Bericht von Avira bzw. Pfadangabe an.

In der Datei 'C:\Users\garyBig\AppData\Local\Temp\ntprtsqp.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

In der Datei 'C:\Users\garyBig\AppData\Local\Temp\eljdlcbv.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

- meinst du so was ??? (des sin die ersten 2 Meldungen überhaupt) - insgesamt hab 919 von den Meldungen; außerdem is mia aufgefallen, dass er auch noch mehr findet und auch woanders also so kommen wir denk ich nicht weiter (ales verseucht )

Zitat:

Runtime Error? Poste bitte auch hier die genaue Fehlermeldung.

nee, da gibts keine Fehlermeldung, stürzt einfach ab (mit dem Vista - typischen (Windows Explorer funktioniert nicht mehr - und dann Neustart des Explorers))

Zitat:

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

-diese Dateien-

C:\Windows\system32\nnnkLbyY.dll
C:\Users\garyBig\AppData\Local\Temp\nnnkJDwW.dll
C:\Users\garyBig\AppData\Local\Temp\ktmyhhsm.dll
C:\Users\garyBig\AppData\Local\Temp\ktuppdau.dll

-konnte ich nicht finden-
daher hab ich nochmal hjt durchlaufen lassn, aber er findet sie noch also müssn sie ja noch da sein oder?

die andern 2 dateien warn da und das sin die ergebnisse:

C:\Windows\system32\byXPFVOe.dll
________________________________

AhnLab-V3 2008.8.15.0 2008.08.18 Win-Trojan/Xema.variant
AntiVir 7.8.1.19 2008.08.18 ADSPY/Virtumonde.trz
Authentium 5.1.0.4 2008.08.18 W32/Trojan2.ASZM
Avast 4.8.1195.0 2008.08.17 Win32:Virtumonde-KQ
AVG 8.0.0.161 2008.08.18 BHO.EFA
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 Adware.Virtumonde.VLG
DrWeb 4.44.0.09170 2008.08.18 Trojan.Virtumod.based.11
eSafe 7.0.17.0 2008.08.17 -
eTrust-Vet 31.6.6035 2008.08.15 Win32/Chisyne.MS
Ewido 4.0 2008.08.18 -
F-Prot 4.4.4.56 2008.08.18 W32/Trojan2.ASZM
F-Secure 7.60.13501.0 2008.08.18 Trojan.Win32.Monder.gen
Fortinet 3.14.0.0 2008.08.18 W32/Agent.CFV!tr
GData 2.0.7306.1023 2008.08.18 Trojan.Win32.Monder.gen
Ikarus T3.1.1.34.0 2008.08.18 AdWare.Virtumonde.trz
K7AntiVirus 7.10.417 2008.08.18 not-a-virus:AdWare.Win32.Virtumonde.vok
Kaspersky 7.0.0.125 2008.08.18 Trojan.Win32.Monder.gen
McAfee 5362 2008.08.15 Vundo.gen.d
Microsoft 1.3807 2008.08.18 Trojan:Win32/Vundo.gen!H
NOD32v2 3364 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 Spyware/Virtumonde
PCTools 4.4.2.0 2008.08.17 -
Rising 20.58.02.00 2008.08.18 Trojan.Win32.Monder.a
Sophos 4.32.0 2008.08.18 Troj/Virtum-Gen
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 Trojan.Virtumod.402
ViRobot 2008.8.18.1339 2008.08.18 Trojan.Win32.Monder.370688
VirusBuster 4.5.11.0 2008.08.18 -
Webwasher-Gateway 6.6.2 2008.08.18 Ad-Spyware.Virtumonde.trz
weitere Informationen
File size: 370688 bytes
MD5...: 799020c3ae117bbb95859382b62c19b4
SHA1..: e910294177c12fe1231bd7b341c284b792cdacce
SHA256: 482153b59e83e53b0f334a962d784dd29339ea80dfe6c80f0db24805be0304c0
SHA512: 35e26507c2afb7a1a5012cb9efa6971b1a47a3edf49a1c0e406c7bb63e7547c8
20c764d3bfbfbe83ff5851e52dc99ac6e64a4a6400cd3cf37331d6a7939d0dda
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100010a5
timedatestamp.....: 0x478a2fee (Sun Jan 13 15:36:14 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x886b 0x8a00 7.18 88da75745c9855c643a5facfb5e87d87
.rdata 0xa000 0x30a43 0x30c00 8.00 b54297e2ba024ce81e3a56c841ec5274
.data 0x3b000 0x62b1c 0x20e00 8.00 792113192b46cbb5600ca31873426be6

( 2 imports )
> user32.dll: DialogBoxParamA, DispatchMessageA, DestroyWindow, DrawTextA, EndDeferWindowPos, DestroyCaret, CreatePopupMenu, CreateMDIWindowA, CreateIconFromResourceEx, CreateIconFromResource, CreateIcon, CreateDialogParamA, CreateCursor, CopyRect, CharToOemBuffA, CharNextA, ChangeMenuA, DrawIcon, BeginPaint
> kernel32.dll: lstrcpyA, lstrcmpiA, SetCurrentDirectoryA, RtlUnwind, RaiseException, GetSystemTimeAsFileTime, GetFileSize, GetCommandLineA, FreeResource, EnumResourceNamesA, EnumResourceLanguagesW, EnterCriticalSection, lstrcpynA

C:\Windows\system32\dyyyaqnj.dll
_______________________________
bei der zweiten hat er mir irgwie gesagt, dass sie schon mal überprüft wurde und dann bin ich auf .letzte ergebnisse anzeigen. dann hat er mir das hier gezeigt
_______________________________
AhnLab-V3 - - -
AntiVir - - ADSPY/Virtumonde.yop.1
Authentium - - -
Avast - - -
AVG - - Generic10.AQBC
BitDefender - - Trojan.Vundo.EVO
CAT-QuickHeal - - Trojan.Vundo.gen
ClamAV - - Trojan.Vundo-4458
DrWeb - - Trojan.Virtumod.based.16
eSafe - - Win32.Monder.yj
eTrust-Vet - - Win32/Vundo.ATV
Ewido - - -
F-Prot - - W32/Virtumonde.AB!Eldorado
F-Secure - - Trojan.Win32.Monder.yj
Fortinet - - Adware/Virtum
GData - - Trojan.Win32.Monder.yj
Ikarus - - Trojan.Win32.Vundo.M
Kaspersky - - Trojan.Win32.Monder.yj
McAfee - - Vundo
Microsoft - - Trojan:Win32/Vundo.gen!M
NOD32v2 - - Win32/Adware.Virtumonde
Norman - - W32/Virtumonde.XLW
Panda - - Spyware/Virtumonde
Prevx1 - - Malicious Software
Rising - - Trojan.Win32.VUNDO.bhu
Sophos - - Troj/Virtum-Gen
Sunbelt - - Trojan.Win32.Monder.gen
Symantec - - Trojan.Metajuan
TheHacker - - Trojan/Monder.yj
TrendMicro - - TROJ_MONDER.AU
VBA32 - - Trojan.Win32.Monder.yj
VirusBuster - - -
Webwasher-Gateway - - Ad-Spyware.Virtumonde.yop.1
weitere Informationen
MD5: 2446e960c05dc507e399ba43ac926053
SHA1: abed651d4a9ee3d1c260c2b6216bcba3d47edebf
SHA256: 6a017f595c7e7b7153b6631ef14ab04bc8a5946c2302e778798b7725aa5b04a6
SHA512: af973bfbfc07b3b8fab840f05960fdfb7cfdf09c3e76772511d4680f1c40bbf3379b400615c5c951844202e0ad8dfac7e91380ea5801a95803ca825c4a3b3c24


bin total verwirrt

Typische Virtumonde-Infektion.
Arbeite wie gesagt MalwareBytes Anti-Malware ab, dazu kommt noch SuperAntiSpyware - Danach noch das:

1.)
Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]


Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.

2.)
Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

mfg

Okay, hat etz ewig gedauert,
aber es lohnt sich ja

Na denn...

ANTI-MALWARE
----------------

18:47:24 18.08.2008
mbam-log-08-18-2008 (18-47-24).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 352721
Laufzeit: 1 hour(s), 53 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 33
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 372

-> alle erfolgreich in Quarantäne und gelöscht (manche noch bei Reboot)

EDIT:

-> hier komplett:

http://www.file-upload.net/download-...7-24-.txt.html

SUPERANTISPYWARE
--------------------
File-Upload.net - SUPERAntiSpyware-Scan-Log---08-18-2008---21-36-15.log

-> war zu lang

DECKARDSSYTEMSCANNER
--------------------------
der dl link führt zu ner meldung dass das prog das system unbrauchbar machn kann und man auf ein update wartn soll

und noch NAVILOG1
--------------------

Search Navipromo version 3.6.4 began on 19.08.2008 at 12:43:19,34

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Program Files\navilog1
Actual User Account : "garyBig"

Updated on 16.08.2008 at 22h00 by IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Version Internet Explorer : 7.0.6000.16643
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\Windows" ***


*** Search folders in "C:\Program Files" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Search folders in "C:\ProgramData" ***


*** Search folders in "c:\users\garybig\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Search folders in "C:\Users\garyBig\AppData\Local\virtualstore\Program Files" ***


*** Search folders in "C:\Users\garyBig\AppData\Roaming" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\Windows\system32" *

* Scan in "C:\Users\garyBig\AppData\Local\Microsoft" *

* Scan in "C:\Users\garyBig\AppData\Local\virtualstore\windows\system32" *

* Scan in "C:\Users\garyBig\AppData\Local" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\Windows\system32" :


* In "C:\Users\garyBig\AppData\Local\Microsoft" :


* In "C:\Users\garyBig\AppData\Local\virtualstore\windows\system32" :


* In "C:\Users\garyBig\AppData\Local" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :

C:\Windows\system32\xFLoonpo.ini2 found ! Possible Vundo infection, not cleaned with this tool !


*** Search completed on 19.08.2008 at 12:59:17,82 ***

Soviele Vundo's
Wie ist der Zustand deines Systems gerade?

Zitat:

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"

Das veraltete Java ist das Einfallstor der Schädlinge gewesen.

mfg

Im Moment ist das System total stabil, hab auch mal den IE gestartet, da kommt keine Werbung oder sonstiges mehr.
Und auch Antivir sagt nix mehr

Wie sollte denn der Zustand mit "so vielen Vundos" sein??^^

Naja wie auch immer vielen vielen Dank alleine hätt ich echt null Ahnung gehabt....

PS: ab jetzt sollte ich wohl öfter mein Java aktualisieren^^

Na dene...

mfg, garyBig

Gut, wenn es Probleme gibt oder dir was verdächtig vorkommt, melde dich.

Zitat:

Wie sollte denn der Zustand mit "so vielen Vundos" sein?

Instabil.

mfg