Trojaner-Board - HEUR/Malware?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - HEUR/Malware? (https://www.trojaner-board.de/77014-heur-malware.html)

Guten Tag,
Ich habe seit heute ein Problem mit meinem Rechner. Z.B kann ich Internetexplorer nicht normal öffnen, sondern nur, wenn ich das Programm als Admin audführe! Oder wenn ich paint öffnen will kommt die Meldung:
------------------------------------------------------------------
mspaint.exe - Fehler in Anwendung

Die Anweisung 0x001f11d0 verweist auf Speicher 0x001f11d0. Der
Vorgang written konnte nicht im Speicher durchgeführt werden.

Klicke auf "OK" um das Programm zu beenden.
------------------------------------------------------------------

Auch als ich meinen Computer gestarten habe, kamen viele solcher Meldungen...z.B von windows-media-player. Nur wenn ich die Programme als Admin ausführe, lassen sie sich MANCHE öffnen. Ich kann noch nichtmal sdie Systemsteuerung öffnen oder winzip files.

Außerdem bekomme ich ständig die Meldung das eine Malware gefunden wurde:

In der Datei 'C:\Windows\System32\ntvvd.exe'
wurde ein Virus oder unerwünschtes Programm 'HEUR/Malware' [heuristic] gefunden.
Ausgeführte Aktion: Zugriff erlauben#

Ich habe es schon mit einem Neustart versucht, doch es kamen die gleichen Meldungen (hab Windows Vista 32bit)

Was kann das sein und vorallem was kann ich tuen?

Hi,

das hört sich nicht gut an...

Arbeite bitte alles unter "Erstbeitrag" (siehe Link in der Signatur ab), zusätzlich noch GMER:

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Als ich den gestartet hab, kam nacher das:
http://img24.imageshack.us/img24/6159/unbenanntxyb.jpg

Nur kamen bei mir keine Fragen, die ich hätte mit "NEIN" beantworten können - es gab keine Fragen!!

Hi,

lass Ihn mal scannen und poste dann das Ergebnis...
Bitte noch den Rest vom "Erstbeitrag" abarbeiten, Gmer sollte eigentlich zum Schluss kommen...

chris

sorry - aba ich kann keine textdokumente öffnen - so ne sch****...das ging ma alles, also kann ich rsit info und log nicht öffnen und posten! Ccleaner is fertig und Malwarebytes läuft schon 1 1/2 Stunden ohne Fund!

Start->Ausführen notepad, dann sollte sich der Texteditor öffnen...
Oder rauscht der auch ab?
Wenn ja:
Lade sie hier hoch:
Fileuplod:
http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

chris

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\Users\Ruben\AppData\Roaming\bif.exe
 C:\Users\Ruben\AppData\Local\Temp\b.exe

C:\Windows\System32\ntvvd.exe

C:\Windows\PixArt\PAC207\Monitor.exe

C:\Windows\system32\DLLMFCK32.dll.doc

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Achtung: Falls die C:\Windows\System32\ntvvd.exe auch erkannt wird, unbedingt bei Files to delete: aufnehmen...

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

Files to delete:

C:\Users\Ruben\AppData\Local\Temp\b.exe

C:\Windows\system32\msxml71.dll

C:\Windows\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job

C:\Windows\tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job

C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3013935828-2288330183-313638403-1000Core.job

C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3013935828-2288330183-313638403-1000UA.job

C:\Windows\system32\DLLMFCK32.dll.doc
 

Folders to delete:

C:\Users\Ruben\AppData\Local

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.1.cab

O4 - HKCU\..\Run: [Cognac] C:\Users\Ruben\AppData\Local\Temp\b.exe

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\Windows\system32\msxml71.dll (file missing)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

Das gefällt mir nicht...
Bekommst Du von Gmer ein vollständiges Log hin?

Kaspersky-Onlinescanner:
(mit IE ausfürhen, Log posten)
http://www.kaspersky.com/de/virusscanner

chris