Hallo, ich brauche Hilfe, ich habe seid kurzem einen echt lästigen Trojaner.

Beim Windows Start meldet sofort Antivir, dass die Datei
C:\Windows\system32\mljji.dll verseucht ist, weder Quarantäne noch löschen... hilft.
Auch im Abgesicherten Modus funktioniert nichts.

Habe diese Lösung versucht jedoch nichts!

Zitat:"
Bitte die Systemwiederherstellung (http://www.tu-berlin.de/www/software/virus/sysres.shtml) im Wechsel aktivieren, deaktivieren.

Lade den CCleaner (http://www.ccleaner.com/) runter, setze in alle Kästchen (Windows, Anwendungen und Probleme) ein Häkchen und drücke dann auf "Starte Cleaner". Bereinige dein System.

1) Lege einen Ordner c:\bases an (Einführung in Windows (http://www.rrieger.de/mmb/edvtut/edv2.htm))
2) Download der -> mwav.exe (http://www.spywareinfo.dk/download/mwav.exe) <- diesen Link verwenden!
3) Entpacke die Datei (mit einem Zip-Programm UltimateZip (http://www.ultimatezip.de/)) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows (http://www.trojaner-board.de/63335-windows-abgesicherten-modus-starten.html)

Nimm das Kabel zum Netz raus oder beende die Netzverbindung anderweitig.

6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:

http://img299.imageshack.us/img299/2993/escan3dn.gif

8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
9) Nun öffnest du mit einem Editor 1 (http://www.download.de/downloads/d_beitrag_10244112.html?tid1=15359&tid2=21530) oder Editor 2 (http://www.delphi-soft.de/wiseeditor.htm) die mwav.log und wählst unter bearbeiten -> suchen,
hier gibst du "tagged as" und "infected as" ein:

http://img8.exs.cx/img8/9665/infected6xz.gif


-> jede Zeile in der "tagged as" steht.
-> jede Zeile in der "infected" steht,

markieren, und hier einfügen, weitersuchen usw.

(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

Ganz unten steht die Zusammenfassung, diese auch hier posten :

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****


"Zitat Ende...

Das kam dabei raus:

File C:\WINDOWS\system32\Reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.

File C:\WINDOWS\system32\vtusrqq.dll tagged as not-a-virus:AdWare.Win32.Virtumonde.fn. No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 SS04\JTAG ICE Hardware\Nachbau ATMEL JTAG ICD\JtagICE Code für AT MEGA16\Flags mit
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 SS04\JTAG ICE Hardware\Nachbau ATMEL JTAG ICD\Original Doc\DIY AVRICE (AVR JTAG IC
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 SS04\JTAG ICE Hardware\Nachbau ATMEL JTAG ICD\PCB\Protel Old\AVR_JTAG_PCB_BIN3.LIB
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 SS04\JTAG ICE Hardware\Nachbau ATMEL JTAG ICD\PCB\Protel Old\AVR_JTAG_PCB_BIN4.LIB
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 SS04\JTAG ICE Hardware\Nachbau ATMEL JTAG ICD\PCB\Protel Old\AVR_JTAG_SCH_BIN4.LIB
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Girlsday Tiny26\MICO-Projekt\Hardware\Datenblätter\AT Tiny 26 Zusammenfassun
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Girlsday Tiny26\MICO-Projekt\Hardware\Datenblätter\AVR Assembler-Befehlslist
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Girlsday Tiny26\MICO-Projekt\Hardware\Datenblätter\Elektrolytkondensator.pdf
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Girlsday Tiny26\MICO-Projekt\Hardware\Datenblätter\Metallschichtwiderstände.
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Girlsday Tiny26\MICO-Projekt\MICO 2 - Infos\Aktuelle Infos\Guter Code brauch
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Girlsday Tiny26\MICO-Projekt\MICO 2 - Infos\Aktuelle Infos\M_Lab_EL4_WS0405.
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Girlsday Tiny26\MICO-Projekt\MICO 2 - Infos\Aktuelle Infos\Programmier-Konve
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Girlsday Tiny26\MICO-Projekt\MICO 2 - Infos\Aktuelle Infos\WS 0405 Projektth
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Leistungsmesser\sonstiges\Informationen zu Seminar- und Diplomarbeiten\1Verf
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Leistungsmesser\sonstiges\Informationen zu Seminar- und Diplomarbeiten\2Antr
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Leistungsmesser\sonstiges\Informationen zu Seminar- und Diplomarbeiten\Dok.d
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Leistungsmesser\sonstiges\Informationen zu Seminar- und Diplomarbeiten\Liter
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.


File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Leistungsmesser\sonstiges\Informationen zu Seminar- und Diplomarbeiten\SDHIN
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Schrittmotorsteuerung\Sonstiges\JTAG-ICE\Boot Roms\DIY AVRICE (AVR JTAG ICE)
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Eigene Dokumente\FH\2006_11_09_Projektlabor\Vorlagen\Komplette Projektarbeiten HS Heilbronn\Ohne Entwicklungssoftware\Mikro4 WS0405\Schrittmotorsteuerung\Sonstiges\JTAG-ICE\Dokumentation\Webseiten zum Thema.d
infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\look2mefix\l2mfix\Reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.
File C:\look2mefix\l2mfix.zip tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.
File C:\Programme\BearShare\BearShareZangoInstaller.exe tagged as not-a-virus:AdWare.Win32.180Solutions.ao. No Action Taken.

File C:\Programme\Gemeinsame Dateien\{B44D5296-0BF3-1031-0113-041215030031}\system.dll tagged as not-a-virus:AdWare.Win32.Softomate.u. No Action Taken.
File C:\Programme\Gemeinsame Dateien\{B44D5296-0BF3-1031-0113-041215030031}\Update.exe tagged as not-a-virus:AdWare.Win32.Softomate.u. No Action Taken.

File C:\WINDOWS\system32\Reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.
File C:\WINDOWS\system32\vtusrqq.dll tagged as not-a-virus:AdWare.Win32.Virtumonde.fn. No Action Taken.
File C:\WINDOWS\system32\Reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.

File C:\WINDOWS\system32\vtusrqq.dll tagged as not-a-virus:AdWare.Win32.Virtumonde.fn. No Action Taken.

Hier noch das Log File von HijackThis(Hier erscheint die mljji.dll nur wenn AntiVir Aktiviert ist, kann sie aber nicht entfernen. Wenn ich AntiVir deaktiviere, kann ich abreiten nur das Laptop ist sehr langsam. Habe versucht über Linux die Datei zu löschen, geht nicht sie wird immer vom System verwendet):

Logfile of HijackThis v1.99.1
Scan saved at 17:19:53, on 16.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\Prismsta.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\??mbols\j?vaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Steve\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {EFA697C5-5D03-07A9-74F8-7045057970E7} - C:\WINDOWS\system32\zzgalp.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{344D5~1\Bar888.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\hmxciape.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/f92ea9f60df38b12cd88cb84f4315b3f_35.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1165947197984
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Ich würde das Ding ja formatieren, habe aber aber zu viele sehr wichtige Sachen, die ich nich schnell genug sichern kann.
Vielleicht kann mir hier jemand helfen???

Gruß Steve

Hallo Nochmal, sorry ihr wart zu langsam, ich habe mir VundO installier und damit die !! 3 DLL Dateien beseitigt, die anderen beiden fand AntiVir nicht mal.

Manchmal lohnen sich ein paar Stunden Arbeit doch.
Ich bin glücklich!

Trotzdem Danke an www. Trojaner-board.de