Hallo Leute

Habe einige Tage schon mit dem GVU Virus und dem Live Security Platinum Virus zukämpfen gehabt. Habe zunächst mit der Kaspersky Rescue Disc Windows wieder freigeschaltet und durch Malwarebytes die Viren beseitigen lassen. Dass der Rechner jetzt wieder völlig clean sein soll wage ich jedoch zu bezweifeln. Kriege jetzt nach jedem Windows Start folgenden Fehler angezeigt:

RunDLL

Problem beim starten von C:/Users/Max/AppData/Local/Temp/er_00_0_l.exe

Das angegebene Modul wird nicht gefunden.

Habe keinen blassen Schimmer wie ich jetzt weiter vorgehen soll :P
Also voraus schon mal vielen Dank für jegliche Hilfe..

Gruß Max
(P.s. Benutze Win7 64-bit)

Hier der Quick-Scan den ich mit Malwarebytes durchgeführt habe:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.30.07

Windows 7 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Max :: MAX-PC [Administrator]

Schutz: Deaktiviert

30.06.2012 23:10:02
mbam-log-2012-06-30 (23-10-02).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 219613
Laufzeit: 4 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|renovator (Trojan.Downloader) -> Daten: C:\Users\Max\AppData\Roaming\Media Center Programs\{77E96979-4B99-42C5-BF47-04CCB6E1F45E}\renovator.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|B7E85889000026D000013D28A60145BE (Trojan.LameShield) -> Daten: C:\ProgramData\B7E85889000026D000013D28A60145BE\B7E85889000026D000013D28A60145BE.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|nonep (Trojan.Agent) -> Daten: C:\Users\Max\AppData\Local\Temp\tmpdf6d538b\KillEXE.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Max\AppData\Roaming\Media Center Programs\{77E96979-4B99-42C5-BF47-04CCB6E1F45E}\RENOVATOR.EXE (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\B7E85889000026D000013D28A60145BE\B7E85889000026D000013D28A60145BE.EXE (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Max\AppData\Local\Temp\er_00_0_l.exe (Spyware.Zbot.DG) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Max\AppData\Local\Temp\tempfiles.exe (Trojan.SpamBot) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Und hier der fullscan:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.30.07

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Max :: MAX-PC [Administrator]

Schutz: Aktiviert

30.06.2012 23:18:17
mbam-log-2012-06-30 (23-18-17).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 538770
Laufzeit: 2 Stunde(n), 4 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Poker 770 (PUP.Casino) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\Users\Max\Desktop\cl1.1.8\router\FRITZ!Box\nc.exe (PUP.Netcat) -> Keine Aktion durchgeführt.
C:\Poker\Poker 770\_SetupCasino_cf77a2.exe (PUP.Casino) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Max\Desktop\Games\Skyrim\reslists\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Max\Desktop\Games\Skyrim\reslists\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Max\Desktop\Games\Skyrim\reslists\Phx_data\Res\ss.exe (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Max\Downloads\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Max\Downloads\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Max\Downloads\Phx_data\Res\ss.exe (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Hast du die Logs von Kaspersky noch?

Ne weiss auch ehrlich gesagt nicht wie ich da dran komme >.<

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\Max\Desktop\Games\Skyrim\reslists\Phx_data\Res\ss.exe (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Max\Downloads\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
         

Kannst du diese Datei zuordnen? Quelle, Sinn und Zweck?

Ja das sind beides Dateien einer Software (Phoenix), diese wird zum extrahieren von Dateien genutzt etc. hat aber glaub ich nichts mit dem aktuellen Virenbefall zu tun, die Software ist nämlich schon etwas länger auf dem Rechner..

Wie lange das drauf ist hab ich nicht gefragt, sondern nach der Quelle
Es gibt einen Grund warum ESET diese Dateien anmeckert - entweder sind das echte Schädlinge oder Fehlalarme

Richtig. Habe die software bei rapidshare gezogen oder was meinst du mit Quelle? Tippe bei den beiden Dateien aber eher auf Fehlalarme(auch wenn ich eigentlich keine Ahnung habe ).. Die 4 schon beim Quickscan gelöschten Dateien sind mMn die wirklichen Bösewichte... Zumindest war der Computer wieder nutzbar nachdem diese gelöscht wurden..

-> C:\Users\Max\AppData\Roaming\Media Center Programs\{77E96979-4B99-42C5-BF47-04CCB6E1F45E}\RENOVATOR.EXE (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\B7E85889000026D000013D28A60145BE\B7E85889000026D000013D28A60145BE.EXE (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Max\AppData\Local\Temp\er_00_0_l.exe (Spyware.Zbot.DG) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Max\AppData\Local\Temp\tempfiles.exe (Trojan.SpamBot) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Zitat:

Richtig. Habe die software bei rapidshare gezogen oder was meinst du mit Quelle?

Tja schön blöd.
Dubiose und gecrackte Software von Rapidshare ist eigentlich fast immer mit irgendwelchen Schädlinge bestückt, das sollte sich nun wirklich in fast jede Ecke des Internet verbreitet haben diese Info

Sry aber bei illegaler Software gibt es hier nur noch Hilfe zur Datensicherung + Neuinstallation von Windows

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials