Hi,

versuche bitte mal die Datei im abgesichtern Modus auf den Desktop zu kopieren und umzubenennen.
Dann normal hochzufahren und die Datei bei virustotal hochzuladen.

Wenn das auch nicht geht, werden wir sie erst löschen und ich würde dich bitten sie anschließend noch bei Virustotal (und einigen anderen Seiten) hochzuladen.

lg myrtille

hi, also :
Erstmal, dieses Regrun scheint garnicht so schlecht zu sein, also nach dem reboot im abgesicherten modus (nachdem regrun ja vorher die advpack erkannt und deleted hatte) hiess die datei jetzt "ADVPACK.DLLS.EXE.del" ich habe eine kopie aufm desktop gemacht und sie bei virustotal hochgeladen, das ergebniss folgt hier : ach und btw mein kaspersky ist nach dem reboot jetzt wieder auch voll am laufen ohne probleme O_O, so jetzt der log :

Datei virus.vir empfangen 2009.03.25 22:27:11 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 16/39 (41.03%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.25 Trojan.Waledac!IK
AhnLab-V3 5.0.0.2 2009.03.25 Win-Trojan/Agent.48640.GU
AntiVir 7.9.0.126 2009.03.25 TR/Waledac.48640.1
Antiy-AVL 2.0.3.1 2009.03.25 -
Authentium 5.1.2.4 2009.03.25 -
Avast 4.8.1335.0 2009.03.25 Win32:Walpak
AVG 8.5.0.283 2009.03.25 SHeur2.XJM
BitDefender 7.2 2009.03.25 Trojan.Waledac.Gen.1
CAT-QuickHeal 10.00 2009.03.25 -
ClamAV 0.94.1 2009.03.25 -
Comodo 1084 2009.03.25 -
DrWeb 4.44.0.09170 2009.03.25 -
eSafe 7.0.17.0 2009.03.25 -
eTrust-Vet 31.6.6416 2009.03.25 -
F-Prot 4.4.4.56 2009.03.25 -
F-Secure 8.0.14470.0 2009.03.25 -
Fortinet 3.117.0.0 2009.03.25 -
GData 19 2009.03.25 Trojan.Waledac.Gen.1
Ikarus T3.1.1.48.0 2009.03.25 Trojan.Waledac
K7AntiVirus 7.10.680 2009.03.24 -
Kaspersky 7.0.0.125 2009.03.25 Email-Worm.Win32.Iksmas.akl
McAfee 5564 2009.03.25 -
McAfee+Artemis 5564 2009.03.25 Generic!Artemis
McAfee-GW-Edition 6.7.6 2009.03.25 Trojan.Waledac.48640.1
Microsoft 1.4502 2009.03.25 -
NOD32 3963 2009.03.25 Win32/IRCBot.ADZ
Norman 6.00.06 2009.03.25 -
nProtect 2009.1.8.0 2009.03.25 -
Panda 10.0.0.10 2009.03.25 Suspicious file
PCTools 4.4.2.0 2009.03.25 -
Rising 21.22.21.00 2009.03.25 Trojan.Win32.Nodef.guw
Sophos 4.39.0 2009.03.25 -
Sunbelt 3.2.1858.2 2009.03.25 Trojan.Waledac.Gen.1
Symantec 1.4.4.12 2009.03.25 -
TheHacker 6.3.3.6.291 2009.03.25 -
TrendMicro 8.700.0.1004 2009.03.25 -
VBA32 3.12.10.1 2009.03.24 -
ViRobot 2009.3.25.1663 2009.03.25 -
VirusBuster 4.6.5.0 2009.03.25 Trojan.Waledac.Gen!Pac.8
weitere Informationen
File size: 48640 bytes
MD5...: e346aebbfec8f7734461d81eef33e442
SHA1..: a5a4938d65dbd3a719afbf2dd46ba6ef2a0f3f68
SHA256: da3a0f3aea45dd607c273b67512a56ff0a0c593b1878521e74fffaa5be89a006
SHA512: aca63610d334347c7a75f8091cd0a654651f3fc3f1ebd20892623cc018e7be72
13a2f56eae37f205bdcb941043dd81bd3e627ef04091bf11de26b757dc07ddfb
ssdeep: 768:K8c9cS5kRzst7FsCrogHBZiBoZ5LI4itOG0Q2/V5VeAcM7danNgZC+bbwJgJ
:K8O+dcJHBZOonLI4io/QKVe5I9bbl
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10e1
timedatestamp.....: 0x441eaa15 (Mon Mar 20 13:11:49 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9e7a 0x9e00 7.95 e3cfcd1a3360d0ff4741a02db4ac1c4a
.data 0xb000 0x2de3 0x1800 6.03 c80d4c85b17373f817b2a616eb2073eb
.rdata 0xe000 0x37c 0x400 2.95 8d08a9fc33633209020a2bc26255cd7e
.bss 0xf000 0x1068 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 1 imports )
> KERNEL32.dll: HeapExtend, ReleaseSemaphore, CreateDirectoryExA, MapUserPhysicalPages, FlushViewOfFile, ReplaceFileA, GetSystemInfo, VirtualProtect, InitializeCriticalSection, VirtualBufferExceptionHandler, SwitchToThread, PrivMoveFileIdentityW, GlobalFlags, GetConsoleTitleA, SetFileTime, FindFirstChangeNotificationA, FindFirstFileA, CreateFileW, ScrollConsoleScreenBufferW

( 0 exports )
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=e346aebbfec8f7734461d81eef33e442' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=e346aebbfec8f7734461d81eef33e442</a>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=e346aebbfec8f7734461d81eef33e442' target='_blank'>http://www.threatexpert.com/report.aspx?md5=e346aebbfec8f7734461d81eef33e442</a>

grüße.

Hi,

super! Vielen Dank!

Hast du Malwarebytes bisher nur instalierst oder bereits ausgeführt?

Wenn ja, dann würde ich gern den Bericht sehen, wenn nein, dann bitte einen "Quickscan" machen und den Bericht hier posten.

Ich muss dir außerdem leider mitteilen, dass es sich bei Waledac um einen Backdoor handelt, das heißt andere Leute haben Zugriff auf dein System gehabt.

Zum einen solltest du unbedingt alle Passwörter von einem sauberen Rechner aus ändern.
Zum andern können wir zwar den Befall entfernen, aber es bleibt ein gewisses Restrisiko, dass der Rechner weiterhin kompromittiert ist.
Es ist deine Entscheidung ob du lieber neuaufsetzt und sicher gehst oder ob du bereinigen möchtest und mit dem Risiko leben kannst.

lg myrtille

Hi, also das dachte ich mir ja schon, aber vllt hatte ich ja glück und der trojaner war zwar auf meinem rechner, aber ob sich da wirklich einer die mühe gemacht hat meinen rechner durzuschauen, hoffe und denk ich mal nicht, da wer weiß wieviele leute infiziert sind, ich denke nicht das ich speziell angegriffen wurde, hatte wohl einfach nur pech, außerdem bin ich mir ziemlich sicher das das erst seit vorgestern ist, also es muss montag morgen so gegen 4:00 passiert sein, ich bin dort über nen youtube video auf nen link gekommen zu so ner seite mit Noten fürs Klavier und auf einmal hat sich urplötzlich der Acrobat reader geöffnet und rechner hat kurz gehongen, hab dann alles schnell beendet und bin dann auch schlafen, und seitdem habe ich auch glaube ich nirgendswo passwörter eingegeben ausser hier im forum, und die Automatische Anmeldung in Msn, so also ich würde mir auf jeden fall fürs bereinigen entscheiden, das wäre sehr nett wenn du mir da helfen könntest, Malewarebytes logs hab ich hier schon 2x gepostet, ich füge aber noch nen aktuellen an, schonmal großen dank für deine hilfe. Grüße und Log : (wow diesmal hat er sogar nix gefunden, liegt vllt an Regrun?)

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1893
Windows 5.1.2600 Service Pack 2

25.03.2009 23:01:34
mbam-log-2009-03-25 (23-01-34).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 69895
Laufzeit: 5 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)