TR/Monder.yis

Onkel · 11.11.2008, 12:46

Hallo,
ich bekomme seit kurzem von AntiVir die meldung das auf c/windows/system32/ghjdvc.dll das Trojanische Pferd TR/Monder.yis ist,ausserdem öffnet sich seit heute dazu laufend "Antivirus 2009".
Kent jemand das Problem??"Anti Trojan Elite "findet nichts...

Würde mich über Hilfe freuen,Danke,der Onkel

Onkel · 11.11.2008, 13:59

Soll ich irgendein pogramm (HJT) aufen lassen?? Hab sowas zum ersten mal...

Senki · 11.11.2008, 14:20

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]

blow-in · 11.11.2008, 14:51

Hi Onkel

Mach mal einen Scan mit Malwarebytes und lasse alles löschen was es findet.
Im Anschluss noch ein HijackThis Log erstellen und hier reinstellen.

Onkel · 11.11.2008, 17:00

Danke erstmal für die Hilfe,hier der log:

Scan saved at 16:49:16, on 11.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.web.de/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.web.de/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.web.de/home
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Programme\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - http://80.237.209.20/objects/NpFv41629.dll
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F557} (Flatcast Viewer 5.0) - http://data.myflatcast.com/data/objects/NpFv501.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3F52C8A-71F4-4BB1-BF26-37ADF8B7BA70}: NameServer = 213.191.92.84,0.0.0.0
O20 - AppInit_DLLs: bnnhtf.dll
O23 - Service: WEB.DE Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 7115 bytes

Cynic · 11.11.2008, 18:05

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]

Onkel · 12.11.2008, 20:13

Mitlerweile sendet msn auch nachrichten,die ich nicht geschrieben habe....

Magni · 12.11.2008, 20:19

Zitat:

Zitat von Onkel

Mitlerweile sendet msn auch nachrichten,die ich nicht geschrieben habe....

(hoffe darf was posten hier)
Ich hab dass gleiche Probleme wenn deine Freunde dann auf den Link klicken und die Datei auch noch ausführen haben sie dass gleiche wie du.
Deswegen solltest du glaub nicht in MSN in nächster Zeit wenn du keine "Virenspammschleuder" sein möchtest und deine Freunde auch anstecken.

Onkel · 12.11.2008, 21:02

..dazu kam noch das ich nicht mehr ins Internet kam (DNS Server nicht mehr da).und meine eigentliche Startseite verändert wurde

Magni · 12.11.2008, 21:05

Zitat:

Zitat von Onkel

..dazu kam noch das ich nicht mehr ins Internet kam (DNS Server nicht mehr da).und meine eigentliche Startseite verändert wurde

mein Problem hat sich wahrscheinlich "gelöst" ich darf Windows neu aufsetzen...
Naja viel Glück bei dir^^

Onkel · 13.11.2008, 09:31

Hmm,na gut kam ja nichts weiter

,also werd ich wohl mal das selbe tun wie du.....

Magni · 13.11.2008, 14:40

Zitat:

Zitat von Onkel

Hmm,na gut kam ja nichts weiter

,also werd ich wohl mal das selbe tun wie du.....

Schau mal beim Taskmanager bei Prozesse ob dort wauclt.exe im Hintergurnd läuft.

Gibt es den "MSN-Trojaner" noch nciht solange?
Bisher war alles was ich darüber gefunden hab recht akuell...

Onkel · 13.11.2008, 15:50

[QUOTE=Magni;391957]Schau mal beim Taskmanager bei Prozesse ob dort wauclt.exe im Hintergurnd läuft.

Nee,den hab ich nicht gefunden

TR/Monder.yis

Plagegeister aller Art und deren Bekämpfung: TR/Monder.yis

TR/Monder.yis

TR/Monder.yis

TR/Monder.yis

TR/Monder.yis

TR/Monder.yis

TR/Monder.yis

TR/Monder.yis

TR/Monder.yis

TR/Monder.yis

TR/Monder.yis

TR/Monder.yis

TR/Monder.yis

TR/Monder.yis

Ähnliche Themen: TR/Monder.yis

11.11.2008, 12:46	#1
Onkel	TR/Monder.yis Hallo, ich bekomme seit kurzem von AntiVir die meldung das auf c/windows/system32/ghjdvc.dll das Trojanische Pferd TR/Monder.yis ist,ausserdem öffnet sich seit heute dazu laufend "Antivirus 2009". Kent jemand das Problem??"Anti Trojan Elite "findet nichts... Würde mich über Hilfe freuen,Danke,der Onkel Geändert von Onkel (11.11.2008 um 13:37 Uhr)

11.11.2008, 13:59	#2
Onkel	TR/Monder.yis Soll ich irgendein pogramm (HJT) aufen lassen?? Hab sowas zum ersten mal... __________________

11.11.2008, 14:20	#3
Senki	TR/Monder.yis [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA [/edit] __________________

11.11.2008, 14:51	#4
blow-in	TR/Monder.yis Hi Onkel Mach mal einen Scan mit Malwarebytes und lasse alles löschen was es findet. Im Anschluss noch ein HijackThis Log erstellen und hier reinstellen.

11.11.2008, 18:05	#6
Cynic	TR/Monder.yis [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA [/edit]

12.11.2008, 20:13	#7
Onkel	TR/Monder.yis Mitlerweile sendet msn auch nachrichten,die ich nicht geschrieben habe....

12.11.2008, 21:02	#9
Onkel	TR/Monder.yis ..dazu kam noch das ich nicht mehr ins Internet kam (DNS Server nicht mehr da).und meine eigentliche Startseite verändert wurde

13.11.2008, 09:31	#11
Onkel	TR/Monder.yis Hmm,na gut kam ja nichts weiter,also werd ich wohl mal das selbe tun wie du.....

13.11.2008, 15:50	#13
Onkel	TR/Monder.yis [QUOTE=Magni;391957]Schau mal beim Taskmanager bei Prozesse ob dort wauclt.exe im Hintergurnd läuft. Nee,den hab ich nicht gefunden