Guten Tag die Damen und Herren Helferleins.

Ich schreibe hier bereits aus dem abgesicherten Modus, weil ich mich inzwischen sehr unsicher fühle

Nachdem ich mir scheinbar ein Virenmutterschiff gedownloaded habe, werden Sites wie w*w.systemdoctor.com oder w*w.drivecleaner.com aufgerufen sobald ich Firefox starte.
Nachdem antivir, spybot, vundofix und ad-aware versagten haben, bin ich euer eScan Anleitung gefolgt und folgendes ist dabei herausgekommen (Von welchen Viren/ Trojs ich befallen bin muss ich euch dann wohl nicht mehr erzählen.):


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.07.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.4
Sprache: German
C:\Dokumente und Einstellungen\ColtfingerJoe\Lokale Einstellungen\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zango Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\unmcffdg.dll infiziert von "Trojan-Spy.Win32.VBStat.h" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B846CAC4-96CC-4EA1-B99E-9C6BF6876BBD}\RP328\A0070537.exe//data.rar/keygen.exe infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ohoingjl.dll//Virtumonde//PE_Patch.UPX//UPX infiziert von "Trojan.Win32.BHO.g" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\unmcffdg.dll infiziert von "Trojan-Spy.Win32.VBStat.h" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\urupxhpr.dll infiziert von "Trojan-Spy.Win32.VBStat.h" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Tools\HijackThis\backups\backup-20070522-111915-732.dll//Virtumonde//PE_Patch.UPX//UPX infiziert von "Trojan.Win32.BHO.g" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\vtutr.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ljjkhgd.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\vtutr.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ljjkhgd.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ljjkhgd.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\vtutr.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ervhxygx.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hpdvtckj.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ljjkhgd.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\vtutr.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{B846CAC4-96CC-4EA1-B99E-9C6BF6876BBD}\RP332\A0075018.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{B846CAC4-96CC-4EA1-B99E-9C6BF6876BBD}\RP333\A0075048.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\ddccd.dll.bad//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\vtutr.dll.bad//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ervhxygx.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hpdvtckj.dll//Virtumonde//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.Virtumonde.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ljjkhgd.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\vtutr.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Tools\HijackThis\backups\backup-20070522-002900-133.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Tools\HijackThis\backups\backup-20070522-002900-329.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Tools\HijackThis\backups\backup-20070522-111716-354.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Tools\HijackThis\backups\backup-20070522-111716-642.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Tools\HijackThis\backups\backup-20070522-111915-909.dll//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Tools\HijackThis\backups\backup-20070522-111915-936.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei D:\Tools\Outlook PST\Outlook.pst/Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Posteingang\[From:**********][Subject:Biershare][Time:2007/01/28 18:46:34]/BSINSTALLDE.exe//WiseSFX Dropper//WISE0025.BIN markiert als not-a-virus:AdTool.Win32.WhenU.a. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\All Users\Desktop\internet.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\whenusave !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\zango !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{115d0cd8-8846-11da-8f50-000ea66a8b36} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in E\Shell\AutoRun\command: E:\autoplay.exe
Executable Command Found in {115d0cd8-8846-11da-8f50-000ea66a8b36}\Shell\Autoplay\DropTarget\AutoRun\command: setup.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 98965
Gefundene Viren: 39
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 4
Dauer des Scans bisher: 01:28:54
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:42:03,20
Batchende: 14:42:29,68


Ich hoffe ihr könnt damit was anfangen und würde mich über Eure Hilfe freuen!
[Viren]

Ps.: Die Bährshare Daten sind nur Reste, worüber ich froh bin das sie angezeigt werden.
(Mein Nachbar wurde beim DL'en erwischt)

Gruß
Felix

Zitat:

Gescannte Dateien: 98965
Gefundene Viren: 39
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 4
Dauer des Scans bisher: 01:28:54

Ich hoffe ihr könnt damit was anfangen und würde mich über Eure Hilfe freuen!
[Viren]

Ps.: Die Bährshare Daten sind nur Reste, worüber ich froh bin das sie angezeigt werden.
(Mein Nachbar wurde beim DL'en erwischt)

Gruß
Felix

Ich rate dir nur dein System neu aufzusetzen bei 39 gefundenen Viren!

Gruss

Schockschwerenot...

Sollte jmd. was anderes einfallen, hab ich gerne ein offenes Ohr dafür!
(Ich werd mir wohl 'ne größere Fliegenklatsche zulegen müssen)

Trotzdem danke, ich werde dann mal eurer "neuaufsetz-anleitung" folgen.

Gruß
Felix

System neu aufgesetzt!

Alles funzt, keine Viren... bis auf einen neuen!

Es !handelte! sich um ezula spyware, gefunden von eScan in meiner firefox verknüpfung aufm Desktop. ist mir ja neu das Verknüpfungen befallen werden, dazu kommt noch das ich im i-net eigtl. nix gemacht hab.
Egal... abgesicherter modus und per tweakpower zerhackt.

Grüz

Felix

Ps.: Mir fällt grade auf, das es sich um ganz genau das gleiche Problem handelte wie hier: http://www.trojaner-board.de/39069-t...n-logfile.html