Vor kurzem hatte ich einen hartnäckigen Trojaner, aufgrunddessen setzte ich mein Betriebssystem Windows XP neu auf, der Trojaner war natürlich weg...
aber schon nach kurzem nun dies

Ich bekomme von Antivir ständig folgende Meldung:
Es handelt sich um einen heuristischen Treffer.
...enthält verdächtigen Code: Heur/Malware
zur Auswahl steht dann: in Quarantäne verschieben, Zugriff verweigern und Ignorieren...
in Quarantäne verschobene Melden sich ziemlich schnell wieder und häufen sich so in Unmengen!
Die Pfade sind entweder C:\Windows\System32\byxxxyy.dll
oder C:\Windows\System32\jkkhffe.dll
oder C:\Windows\System32\vtuspol.dll
wobei erstgenannter Pfad am häufigsten gemeldet wird.

Ich verwende nur Antivir und Spyware Doctor, die sich ja eigentlich nicht im Wege stehen dürften. Als Browser verwende ich Mozilla Firefox.

Ich bin weiblich, kein Computer-Profi aber auch kein Neuling...
ich wäre sehr dankbar, wenn mir jemand helfen könnte
vieleicht hat ja auch einer einen Tipp, was man nach Neuaufsetzen EINFACHES unternehmen kann, damit ich nicht ständig Probleme mit sowas habe...

Versuch doch mal, die erwähnten Dateien mit der "Killbox" zu löschen...das ist ein sehr machtvolles Tool, welches Du Dir aus dem Netz laden kannst...

Zitat:

Zitat von Surgeon99

Versuch doch mal, die erwähnten Dateien mit der "Killbox" zu löschen...das ist ein sehr machtvolles Tool, welches Du Dir aus dem Netz laden kannst...

Danke für den ersten Hinweis, werde es versuchen...

Zitat:

Zitat von Jazzyjazz

Danke für den ersten Hinweis, werde es versuchen...

Habe mit Killbox über Standart File Kill versucht, einen betreffenden File zu löschen...aber es kommt die Meldung, dass dieser File nicht gelöscht werden kann.
Mache ich da was falsch?

mOIn

lade die von dir genannten Dateien mal hier
Virustotal
oder hier
Jotti
hoch (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Du könntest bitte mal ein HijackThis log erstellen -->HijackThis
editiere alle Links (z.B. http -> hxxp) und personlichen Einträge.

MFG

Moin,

wenn AntiVir einen heuristischen Treffer meldet, dann würde ich diesen doch zu allererst an Avira senden.

Sende die entsprechende(n) Datei(en) an heuristik2@avira.com. Gebe eine kurze Beschreibung der Situation und bitte um Rückantwort.

Zitat:

Zitat von nochdigger

mOIn

lade die von dir genannten Dateien mal hier
Virustotal
oder hier
Jotti
hoch (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Du könntest bitte mal ein HijackThis log erstellen -->HijackThis
editiere alle Links (z.B. http -> hxxp) und personlichen Einträge.

MFG

Danke für deine Tipps.
Habe bei Virustotal die einzig auffindbare Datei (die auch am häufigsten von Antivir gemeldet wird) geladen...gefunden wurde nichts. (Leider habe ich den oberen Teil nicht festgehalten, wenn nötig kann ich nochmal laden)
heraus kam:
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

mit Hijack This log setze ich mich gleich mal auseinander....
Neuerdings sind 2 Dateien mit Endung .dll hinzu gekommen, aber am häufigsten meldet sich weiterhin die oben erwähnte.
Und nach einiger Zeit im Internet reagiert der Browser nicht mehr, nach Neustart vom Rechner wieder normal.

Zitat:

Zitat von mav1976

Moin,

wenn AntiVir einen heuristischen Treffer meldet, dann würde ich diesen doch zu allererst an Avira senden.

Sende die entsprechende(n) Datei(en) an heuristik2@avira.com. Gebe eine kurze Beschreibung der Situation und bitte um Rückantwort.

Danke für den Hinweis.
Bin ich natürlich auch schon drauf gekommen - aber unter Antivir klappt das senden dieser Dateien nicht...
wenn du noch einen Tipp hast, wie ich die als normale E-mail versenden kann...

Ähhh... ich habe Dir die Emailadresse gegeben. Bitte an diese die Files paßwortgeschützt hinsenden. Sorry mehr kann ich wirklich nicht tun.

Zitat:

Zitat von nochdigger

mOIn

lade die von dir genannten Dateien mal hier
Virustotal
oder hier
Jotti
hoch (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Du könntest bitte mal ein HijackThis log erstellen -->HijackThis
editiere alle Links (z.B. http -> hxxp) und personlichen Einträge.

MFG

Hier der HiJack This log

Logfile of HijackThis v1.99.1
Scan saved at 19:13:25, on 30.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\vcmon.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://glob**.ac**.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://glob**.ac**.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://glob**.ac**.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {499E2510-82A5-40A2-BF5E-4D375A4B48B1} - C:\WINDOWS\System32\byxxxyy.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D80B77B-6705-44E0-B761-0C8062426F2E}: NameServer = 213.191.92.86 213.191.74.18
O20 - Winlogon Notify: byxxxyy - C:\WINDOWS\SYSTEM32\byxxxyy.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Remote Windows Services - Unknown owner - C:\WINDOWS\system32\vcmon.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

Moin,

suche diese Datei hier im angegebenen Pfad --> C:\WINDOWS\System32\byxxxyy.dll <-- und packe diese in ein Archiv (WinZip, WinRar etc.). Versehe dies natürlich mit einem Paßwort und schicke es an --> heuristik2@avira.com <-- (einfach draufklicken) und warte ab.

Zitat:

Zitat von mav1976

Moin,

suche diese Datei hier im angegebenen Pfad --> C:\WINDOWS\System32\byxxxyy.dll <-- und packe diese in ein Archiv (WinZip, WinRar etc.). Versehe dies natürlich mit einem Paßwort und schicke es an --> heuristik2@avira.com <-- (einfach draufklicken) und warte ab.

Nochmals Danke.
Werde ich so wegschicken und abwarten...

Wenn Du das Problem gelöst hast, solltest Du Dein Betriebssystem auf den neuesten Stand bringen...(SP2)

mOIn

@Jazzyjazz leider hast du neben Vundo (vmtl. da typische Einträge O2 und O20 im Log vorhanden) noch einen anderen sehr viel schlimmeren Gast im Haus und den wird man nicht einfach so los --> W32/Tilebot-HX
auch ist dein Betriebssystem nicht mehr aktuell

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

es fehlt dir das Servicepack 2 und ca. 140 Folgeupdates, so kann es auch nur eine Lösung geben folge dieser Anleitung zum Neuaufsetzen und anschließender Absicherung des Systems.
Nach der Neuinstallation des Rechners solltest du auch alle Passwörter ändern und bis dahin kein Ebay und Onlinebanking.

MFG

Hallo Jazzy,

Zitat:

Ich bin weiblich...

Das sollte anundfürsich kein Problem darstellen *scnr*

Du schreibst, du hast dein System neu aufgesetzt und kurz danach bekamst du wieder eine Virenwarnung. Dazu habe ich drei Punkte:

* Viren benötigen Systemzugriff, daher ist es ein hoher Risikofaktor mit Administratorenrechten zum Internet zu verbinden. Das anlegen eines BEnutzerkontos nach Windowsstandart hilft hier schon. Unter diesem kann man auch im Netz "surfen" und eigentlich fast alles mit dem geliebten Rechengerät anstellen, was man als Vollbenutzer kann, außer eben installieren.
https://www.sicher-im-netz.de/partne...iches/fokus/18

* Desweiteren hat Microsoft eine recht eigenwillige Vorstellung von Service. Man behauptet, das wenn einem User alle möglichen Systemservice zur verfügung stehen, dies dem Benutzer die Handhabung leichter mache. Stimmt schon, dummerweise macht es auch den Zugriff zum System leichter. Daher gilt nach jedem System neuinstall, Dienste und Service abstellen, die nicht benötigt werden.
Dazu gibts ganz nette Programme wie Xpy oder NTSVCFG

* Wenn du diese beiden Regeln befolgst und dein SP2 noch aufspielst, dann kannst du deine Anti-Virus Programme allesmt löschen, denn tatsächlich sind diese häufiger der Grund für Malewarebefall, als das sie etwas verhindern oder bereinigen könnten. Es gibt keine Software, die Viren zuverlässig entfernen kann.