Hey Leuz!
Ich hab da ziemlich lästige Viren auf meinem PC.
Es sind folgende:

wvuurpm.dll , mlljg.dll und mlljg.exe

Alle befinden sich in dem Ordner C:\WINDOWS\system32\

Egal, mit welchem Programm ich an sie rangehe, entweder sind sie nicht zu löschen, oder, was das nervigste daran ist, sie erstellen sich beim Anschalten des Pcs direkt wieder neu.
Mein normaler Virenscanner ist von "Network Associates" und heißt "Mc Afee" oder so ^^ sorry für ungenaue Beschreibung.
Dieser Virenscanner ist blind wie n Maulwurf, denn er findet mit den neusten Updates nicht einen der Viren.
Ein Freund rat mir, eine HiJackThis-Logfile zu erstellen.
Zudem hat er mir den Virenscanner a²Free empfohlen, welcher den Virus wvuurpm.dll findet, die anderen beiden jedoch nicht.

Das Problem ist es, dass sich die 3 Viren nach dem "Erfolgreichen Löschen" immer beim neuhochfahren wiedererstellen.

Zudem habe ich noch das Problem, dass irgendetwas (warscheinlich eine der 3 Files) Dateien mit Leerzeichen erstellt. Z.B. im QIP Ordner (Chat-Prog) ist die Datei qip.exe, wenn sie gestartet wird erstellt sich eine qip .exe
Das Selbe gilt bei uTorrent.exe, nur dass dort am Anfang immer steht
(Aus der Erinnerung heraus):
Do you wish to install µTorrent 1.7.5.
_ _
Create an Desktop-Icon |_|Yes |_|No
Create a Shortcut-Icon |_|Yes |_|No
Create a (Im Start Ordner) |_|Yes |_|No

Und da erstellt sich dann bei JEDEM neustarten von µTorrent also bei jedem Systemstart eine .exe mit einem Leerzeichen mehr, d.h.:
Im Ordner sind dann die normalen Dateien die zum Prog gehören, uTorrent.exe
und diese uTorrent .exe, uTorrent .exe, uTorrent .exe, uTorrent .exe usw. bei ZoneAlarm das selbe ZA.exe und ZA .exe dann zlclient.exe und zlclient .exe

Hier ist meine Log-File:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:34:22, on 13.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\ZoneAlarm\zlclient .exe
C:\WINDOWS\system32\ctfmon.exe
c:\programme\a-squared free\a2free.exe
C:\Programme\a-squared Free\a2service.exe
C:\PROGRA~1\INTERN~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Little Fighter Freak\Desktop\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.partypoker.com/om/HPfull.htm?wm=2744369
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7555906D-70F1-4FD6-8250-4FBE75252F58} - C:\WINDOWS\system32\wvuurpm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {97DDF36A-BED6-4042-A80E-2A67B95BBD9E} - C:\WINDOWS\system32\kbdmon32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {C58CFE45-DA8C-46A1-B6D0-C4312237A433} - C:\WINDOWS\system32\mlljg.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP\qip .exe
O4 - HKCU\..\Run: [uTorrent] "C:\Programme\uTorrent\uTorrent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Magnify] Magnify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Magnify] Magnify.exe (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158321503546
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: wvuurpm - C:\WINDOWS\SYSTEM32\wvuurpm.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: (no name) - http://dsl.technobase.eu/listen-dsl.asx
O24 - Desktop Component 1: (no name) - http://www.dbi.ch/praktisch

--
End of file - 7353 bytes

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Boote im abgesicherten Modus
-Starte es dann und lass das System Reinigen. (Option 2)



-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Ähä ja shice?!
Mein Abgesicherter Modus funktioniert nicht mehr!!
Ich drück F8 und dann kann man ja auswählen zwischen
Windows Im Abgesicherten Modus Starten
Windows Im Abgesicherten Modus Mit Netzwerk Treibern Starten
Windows Im Abgesicherten Modus Mit Eingabeaufforderung Starten
und
Windows Normal Starten

Tja und immer wenn ich 1 der Abgesicherten Modi starten will, lädt der PC bis hin wo dort steht "Press Esc to channel loading [Irgendne Datei]" 2 Sekunden danach resetet sich der Computer immer ?!!
What can I do

Hallo

Zitat:

What can I do

lass beide Programme mal im normalen Modus auf dein System los.

MFG

War mir auch grad eingefallen ^^
Dankeschön für die schnelle Hilfe!
Aber die Dateien sind immernoch da, das ist ja das lästige, sie haben sich wiedererstellt.
Hier ist mein SmitFraudFix Bericht:

SmitFraudFix v2.274

Scan done at 18:23:53,96, 14.01.2008

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Combofix(fehlt noch!)

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

GMER - Rootkit Detection

* Lade GMER von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt
* Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Devices, -Module, -Processes, -Threads, -Libraries


* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

Danke an Alle!
Ich habe beim Booten so eine Option, die von Anfang an dabei war:

System auf Ausliferungszustand zurücksetzen

Diese Option werde ich am Wochenende einfach durchführen

Gute Entscheidung! Beriche doch ob dem Erfolg.

Jau hat erfolgt..
Aber jemand meint ich muss den Pc nomma neu aufsetzen -.-
Er/Sie meint ich hätte n Backdoor...
Mein anderes Thread wo das mit dem Backdoor diskutiert wird

Nachdem Du da einräumst, dass Du ihn dir viuelleicht selber isntalliert hast, ist das das beste. Wer mit solchen Programmen spielt, sollte drauf vorbereitet sein, sehr oft neu aufzusetzen.