Hallo, ich habe ein Problem und zwar habe ich mir vor 2 Tagen einen Virus eingefangen, Symantec Anti Virus hat Trojan.Vundo gefunden und zwar 166 mal und dann nochmals 4 mal. Alle wurden gelöscht, sagte es mir. Jedoch kamen immer wieder zuerst nur Doawnloader und jetzt Doawnloader MisleadApp diese werdern mal gelöscht mal nur Teilweise. Eigentlich haben sich das erste mal popups geöffnet wo für Pornoseiten geworben wurde, dies brachte mein System beinahe zum Absturz, aber jetzt höre ich ab und zu dieses klick geräusch ganz oft und gleich nacher sagt mir symantec anti virus das wieder so ein downloader da sei und teilweise gelöscht wurde. Die internetdatei oder verknüpfung wurde gelöscht. mit AVG Anty Spyware hab ich dann gesucht und 49 Tracking Cookies entdeckt und ein Adware.Generic. Alle gelöscht.
2 Sec später gibt es schon wieder den Adware.generic irgendwo in der Regystery bei den autostarts, entferne ich ihn, kommt er gleich wieder. und wenn ich etas warte sind dann wieder die Cookies da und sie heissen immer gleich, also sind es die gleichen nehme ich an. Was soll ich jetzt tun ?
Ich möchte es vermeiden XP neu zu installieren, wenn es geht

Das mit dem Programm klapp nicht wenn ich es installieren will schliesst es sich nach ca 3 sec automatisch, egal wie ich es versuche, als ob jemand es einfach zu macht, immer und immer wieder

moin,
Starte deinen Rechner im abgesicherten Modus und probiere vundo mit diesem Tool zu killen
http://vundofix.atribune.org/
danach bitte nochmal einen virenscan( updaten) durchführen, ein HJ Log erstellen und es hier posten.

Vundo ist bereits gekillt, ich hab das Problem mit dem Downloader MisleadApp.
Ich kenne mich mit HJ nicht genau aus, gibt es wo eine anleitung

Hijackthis kannst du von hier runterladen http://www.zdnet.de/downloads/prg/n/m/deGNNM-wc.html
danach steckst du HijackThis in einen Ordner ,öffnest es und wählst die Option Scan und Save Log ( oder so ähnlich)
Danach postest du bitte das dadurch entstandene Log.

Jak

Zitat:

Eigentlich haben sich das erste mal popups geöffnet wo für Pornoseiten geworben wurde, dies brachte mein System beinahe zum Absturz, aber jetzt höre ich ab und zu dieses klick geräusch ganz oft und gleich nacher sagt mir symantec anti virus das wieder so ein downloader da sei und teilweise gelöscht wurde.

Auf was für einer Seite warst Du da, als das passierte? Bitte etwaige Links unklickbar posten, also statt http --> h**p schreiben. Nächste Frage, hast Du diese Seite bewußt angesurft, oder wurdest Du dorthin "gebracht"?

Zitat:

Jedoch kamen immer wieder zuerst nur Doawnloader und jetzt Doawnloader MisleadApp diese werdern mal gelöscht mal nur Teilweise.

Hast Du noch einen Scanreport von Norton/Symantec zur Verfügung, der den genauen Namen des Schädlings angibt sowie den Pfad? Wenn ja, bitte posten!

Zitat:

2 Sec später gibt es schon wieder den Adware.generic irgendwo in der Regystery bei den autostarts, entferne ich ihn, kommt er gleich wieder. und wenn ich etas warte sind dann wieder die Cookies da und sie heissen immer gleich, also sind es die gleichen nehme ich an. Was soll ich jetzt tun ?

Aufhören mit sinnlosen Löschaktionen, das führt zu nichts, wie Du inzwischen bemerkt haben solltest.....

Lies:

Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun? – Microsoft TechNet: Rubrik Sicherheitsverwaltung

Setze den Hinweis von TojanHunter um, hier ist eine Anleitung:

HijackThis - bebilderte Anleitung

Wichtig: Vorher das Logfile nach der Anweisung von GUA editieren, siehe den 1. Link in meiner Signatur!

Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:21:54, on 25.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Silicon Image\3132-W-I32-R SATARAID5\SATARaid5ConfigService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\avp.exe
C:\WINDOWS\lsass.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\mgrs.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: winjvd32 - C:\WINDOWS\SYSTEM32\winjvd32.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SATARaid5 Configuration Service (SATARaid5 Config Service) - Unknown owner - C:\Programme\Silicon Image\3132-W-I32-R SATARAID5\SATARaid5ConfigService.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

--
End of file - 7906 bytes


Die genauen Namen der 3 Viren:

1. Trojan.vundo 166 mal, alle gelöscht im Verzeichniss:C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\
und 4 mal in: C:\WINDOWS\system32\

2. Downloader.MisleadApp immer wieder kehrend und ständig in 2 Verzeichnissen (erstes mal in C:\Programme und 2tes: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\21CX256F\ (ers erstellt immer neue ornder die keinen sinn ergeben.


und dann noch der Downloader ebenfalls in verschiedenen Verzeichnissen immer wieder kehrend

Ach ja, ich weiss nicht mehr genau welche Seite es war wo ich mir den Virus runter gehohlt habe, aber ich suchte nach einem Crack für ein Spiel, die Sims 2 vier Jahreszeiten, damit meine Schwester es ohne CD spielen kann, da war dann der Virus drinn, ich glaube es war: h**p://www.torrent.to/torrent/popup.php?Active=pc&ID=172887
bin mir aber nicht mehr 100% sicher

Das sieht nach Totalschaden aus.....

Lade bitte folgende Dateien bei VirusTotal hoch und poste das Ergebnis aller Scanner.....

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\lsass.exe
C:\WINDOWS\mgrs.exe
C:\WINDOWS\avp.exe
C:\WINDOWS\SYSTEM32\winjvd32.dll
         

Der Link zu VirusTotal steht in meiner Signatur.

C:\WINDOWS\lsass.exe

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.26.10 2008.01.25 -
AntiVir 7.6.0.53 2008.01.25 TR/Dldr.Alphabet.LH1
Authentium 4.93.8 2008.01.25 -
Avast 4.7.1098.0 2008.01.25 Win32:BHO-LC
AVG 7.5.0.516 2008.01.25 Downloader.Small.60.K
BitDefender 7.2 2008.01.25 -
CAT-QuickHeal 9.00 2008.01.25 (Suspicious) - DNAScan
ClamAV 0.91.2 2008.01.25 -
DrWeb 4.44.0.09170 2008.01.25 Trojan.DownLoader.25873
eSafe 7.0.15.0 2008.01.16 Suspicious File
eTrust-Vet 31.3.5484 2008.01.25 -
Ewido 4.0 2008.01.25 -
FileAdvisor 1 2008.01.25 -
Fortinet 3.14.0.0 2008.01.25 W32/Heuri.BT!tr.dldr
F-Prot 4.4.2.54 2008.01.25 -
Ikarus T3.1.1.20 2008.01.25 Trojan-Downloader.Win32.Alphabet
Kaspersky 7.0.0.125 2008.01.25 Trojan-Downloader.Win32.Alphabet.bt
McAfee 5215 2008.01.24 Puper.dll
Microsoft 1.3109 2008.01.25 BrowserModifier:Win32/E404
NOD32v2 2823 2008.01.25 a variant of Win32/TrojanDownloader.Alphabet.P
Norman 5.80.02 2008.01.24 -
Panda 9.0.0.4 2008.01.25 Adware/BaiduBar
Prevx1 V2 2008.01.25 Trojan.SystemPoser
Rising 20.28.41.00 2008.01.25 -
Sophos 4.25.0 2008.01.25 Mal/Heuri-E
Sunbelt 2.2.907.0 2008.01.25 Trojan-Downloader.Alphabet.LH1
Symantec 10 2008.01.25 -
TheHacker 6.2.9.197 2008.01.25 Trojan/Downloader.Alphabet.bt
VBA32 3.12.2.5 2008.01.21 -
VirusBuster 4.3.26:9 2008.01.25 -
Webwasher-Gateway 6.6.2 2008.01.25 Trojan.Dldr.Alphabet.LH1
weitere Informationen
File size: 27136 bytes
MD5: c9edcc68cbfb8d16dfa2d5d71856a285
SHA1: 1ce36a294f6bee3feb8f1ea76991649e5b0a0d04
PEiD: PECompact 2.xx --> BitSum Technologies
packers: PECompact, PECompact
packers: embedded, PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact

Edit: Das sieht so ja schrecklich aus, was ist denn davon wichtig, oder kann ich einfach einen Link zum ergebniss reinstellen ?

C:\WINDOWS\mgrs.exe

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.26.10 2008.01.25 -
AntiVir 7.6.0.53 2008.01.25 TR/Dldr.Alphabet.11264.53
Authentium 4.93.8 2008.01.25 -
Avast 4.7.1098.0 2008.01.25 Win32:Alphabet-P
AVG 7.5.0.516 2008.01.25 Clicker.KVH
BitDefender 7.2 2008.01.25 Generic.Dld.Alpha.CD67C61C
CAT-QuickHeal 9.00 2008.01.25 TrojanDownloader.Alphabet.gen
ClamAV 0.91.2 2008.01.25 Trojan.Downloader-20933
DrWeb 4.44.0.09170 2008.01.25 Trojan.DownLoader.origin
eSafe 7.0.15.0 2008.01.16 Win32.Alphabet.gen
eTrust-Vet 31.3.5484 2008.01.25 Win32/Kastem.AW
Ewido 4.0 2008.01.25 -
FileAdvisor 1 2008.01.25 -
Fortinet 3.14.0.0 2008.01.25 W32/Heuri.E!tr.dldr
F-Prot 4.4.2.54 2008.01.25 -
F-Secure 6.70.13260.0 2008.01.25 W32/DLoader.FBEE
Ikarus T3.1.1.20 2008.01.25 Trojan-Downloader.Win32.Alphabet
Kaspersky 7.0.0.125 2008.01.25 Trojan-Downloader.Win32.Alphabet.gen
McAfee 5215 2008.01.24 -
Microsoft 1.3109 2008.01.25 TrojanDownloader:Win32/Nonaco.E
NOD32v2 2823 2008.01.25 Win32/TrojanDownloader.Alphabet.NAG
Norman 5.80.02 2008.01.24 W32/DLoader.FBEE
Panda 9.0.0.4 2008.01.25 Adware/DriveCleaner
Prevx1 V2 2008.01.25 Downloader.Small.60.M
Rising 20.28.41.00 2008.01.25 -
Sophos 4.25.0 2008.01.25 Mal/Heuri-E
Sunbelt 2.2.907.0 2008.01.25 Trojan.Dld.Alpha
Symantec 10 2008.01.25 -
TheHacker 6.2.9.197 2008.01.25 Trojan/Downloader.Alphabet.gen
VBA32 3.12.2.5 2008.01.21 Trojan-Downloader.Win32.Alphabet.gen
VirusBuster 4.3.26:9 2008.01.25 -
Webwasher-Gateway 6.6.2 2008.01.25 Trojan.Dldr.Alphabet.11264.53
weitere Informationen
File size: 11264 bytes
MD5: 7ce956a9112800bb0b894dac4ae964b8
SHA1: cdbf93acf88fd7c20a77a5a9ffcd8afa957b12de
PEiD: PECompact 2.xx --> BitSum Technologies
packers: PECompact
packers: embedded, PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact


C:\WINDOWS\avp.exe

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.26.10 2008.01.25 -
AntiVir 7.6.0.53 2008.01.25 TR/Dldr.Alphabet.11264.53
Authentium 4.93.8 2008.01.25 -
Avast 4.7.1098.0 2008.01.25 Win32:Alphabet-P
AVG 7.5.0.516 2008.01.25 Clicker.KVI
BitDefender 7.2 2008.01.25 Generic.Drop.Alpha.0F656713
CAT-QuickHeal 9.00 2008.01.25 TrojanDropper.Agent.dvf
ClamAV 0.91.2 2008.01.25 -
DrWeb 4.44.0.09170 2008.01.25 Trojan.MulDrop.origin
eSafe 7.0.15.0 2008.01.16 Suspicious File
eTrust-Vet 31.3.5484 2008.01.25 Win32/Kastem.AW
Ewido 4.0 2008.01.25 -
FileAdvisor 1 2008.01.25 -
Fortinet 3.14.0.0 2008.01.25 -
F-Prot 4.4.2.54 2008.01.25 -
F-Secure 6.70.13260.0 2008.01.25 Trojan-Dropper.Win32.Agent.dvf
Ikarus T3.1.1.20 2008.01.25 Trojan-Downloader.Win32.Alphabet
Kaspersky 7.0.0.125 2008.01.25 Trojan-Dropper.Win32.Agent.dvf
McAfee 5215 2008.01.24 -
Microsoft 1.3109 2008.01.25 Trojan:Win32/Meredrop
NOD32v2 2823 2008.01.25 Win32/TrojanDownloader.Alphabet.NAG
Norman 5.80.02 2008.01.24 W32/Smalldrp.RCS
Panda 9.0.0.4 2008.01.25 Adware/UltimateCleaner
Prevx1 V2 2008.01.25 Generic.Malware
Rising 20.28.41.00 2008.01.25 -
Sophos 4.25.0 2008.01.25 Mal/Heuri-E
Sunbelt 2.2.907.0 2008.01.25 Trojan-DropperAlpha
Symantec 10 2008.01.25 -
TheHacker 6.2.9.197 2008.01.25 -
VBA32 3.12.2.5 2008.01.21 Trojan.MulDrop
VirusBuster 4.3.26:9 2008.01.25 Trojan.DR.Alphabet.Gen!Pac
Webwasher-Gateway 6.6.2 2008.01.25 Trojan.Dldr.Alphabet.11264.53
weitere Informationen
File size: 18944 bytes
MD5: 72b41b1b4981b516486fe83c317c5273
SHA1: dd51de1376869004607cc7e7811accdfe40243e7
PEiD: PECompact 2.xx --> BitSum Technologies
packers: PECompact, PECompact
packers: PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact


C:\WINDOWS\SYSTEM32\winjvd32.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.26.10 2008.01.25 -
AntiVir 7.6.0.53 2008.01.25 TR/Crypt.PEC2X.Gen
Authentium 4.93.8 2008.01.25 -
Avast 4.7.1098.0 2008.01.25 -
AVG 7.5.0.516 2008.01.25 Dialer.RJB
BitDefender 7.2 2008.01.25 -
CAT-QuickHeal 9.00 2008.01.25 -
ClamAV 0.91.2 2008.01.25 -
DrWeb 4.44.0.09170 2008.01.25 -
eSafe 7.0.15.0 2008.01.16 Suspicious File
eTrust-Vet 31.3.5484 2008.01.25 -
Ewido 4.0 2008.01.25 -
FileAdvisor 1 2008.01.25 -
Fortinet 3.14.0.0 2008.01.25 W32/Nebule.YZ!tr
F-Prot 4.4.2.54 2008.01.25 -
F-Secure 6.70.13260.0 2008.01.25 Trojan.Win32.Dialer.yz
Ikarus T3.1.1.20 2008.01.25 Trojan.Mezzia.CY
Kaspersky 7.0.0.125 2008.01.25 Trojan.Win32.Dialer.yz
McAfee 5215 2008.01.24 BackDoor-CVT
Microsoft 1.3109 2008.01.25 Trojan:Win32/Adialer.OP
NOD32v2 2823 2008.01.25 unpack error
Norman 5.80.02 2008.01.24 W32/Smalldoor.BBRK
Panda 9.0.0.4 2008.01.25 Suspicious file
Prevx1 V2 2008.01.25 Generic.Malware
Rising 20.28.41.00 2008.01.25 -
Sophos 4.25.0 2008.01.25 Troj/Nebule-Gen
Sunbelt 2.2.907.0 2008.01.25 Trojan.Crypt.PEC2X.Gen
Symantec 10 2008.01.25 -
TheHacker 6.2.9.197 2008.01.25 -
VBA32 3.12.2.5 2008.01.21 -
VirusBuster 4.3.26:9 2008.01.25 Dialer.DialXS.Gen!Pac.2
Webwasher-Gateway 6.6.2 2008.01.25 Trojan.Crypt.PEC2X.Gen

Jak

Herzlichen Glückwunsch, wie schon gesagt, format C: heißt das Gebot der Stunde.

Ich hoffe, daß auf Deinem Rechner keine ultrawichtigen Dateien sind die Du unbedingt brauchst und sichern möchtest, denn sonst infizierst Du u. U. Dein System erneut, bei der Verseuchung.

Sei in Zukunft vorsichtiger, und meide Crack- und Warez-Seiten. V. a. installiere Dir nicht jeden Müll, und schon gar nicht ohne vorherige Prüfung. (VirusTotal ist hierfür eine gute Seite).

Nach format C: bitte das hier umsetzen:

sicher-ins-netz.info - So schützen Sie Ihr System richtig

Und falls Du noch Zweifel haben solltest, warum Du formatieren mußt:

Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun? – Microsoft TechNet: Rubrik Sicherheitsverwaltung

Falls Du noch Fragen haben solltest, mußt Du Dich bitte bis morgen gedulden, ich bin müde und mach mich jetzt vom Acker.

Ok, dann muss ich das wohl machen, jedoch habe ich keine Ahnung wie ich das anstellen muss. Gibt es wo eine Anleitung ? Ich brauche dazu wohl die CD ? Denn ich hab meinen PC von einem Spezialisten zusammenbauen lassen und ich glaube, dass der die CD noch hat, die muss ich wohl hohlen gehen. Oder ihn den PC machen lassen, aber er hat ihn vor nicht mal einer Woche wieder gebracht, weil er mir ein einschubschacht eingebaut hat wo ich Xp und vista wechseln kann. Aber noch eine letzte Frage, wie sieht das mit der Systemwiederherstellung zu einem früheren Zeitpunkt aus ? Ich könnte ihn ja vorher wiederherstellen lassen, bevor das Virus draauf kam

So, ich hab's nochmals mit ner Wiederherstellung probiert, so sieht's jetzt aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:44:02, on 25.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Silicon Image\3132-W-I32-R SATARAID5\SATARaid5ConfigService.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://h*p://javadl-esd.sun.com/upda...ws-i586-jc.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h*://ww.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SATARaid5 Configuration Service (SATARaid5 Config Service) - Unknown owner - C:\Programme\Silicon Image\3132-W-I32-R SATARAID5\SATARaid5ConfigService.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

--
End of file - 5537 bytes

So, alle Viren scheinen weg zu sein, bzw nur noch im andern Wiederherstellungspunkt zu sein. Wie werde ich den los ?

Jak

Dein letztes Logfile sieht in der Tat wieder ok aus, was hast Du gemacht?

Aber freu Dich nicht zu früh, das Scan-Ergebnis war eindeutig, Dein Rechner ist kompromittiert = nicht mehr vertrauenswürdig. Du hast diverse Trojaner, Dialer und Trojan-Dropper auf dem OS, da hast Du keine Wahl. Es sei denn Du riskierst, daß Du Rechnungen bekommst die Du nicht verursacht hast, und daß weitere Schädlinge auf Deinem Rechner abgelegt werden, die ihrererseits weitere Malware nachladen.

Deine Kiste ist hin, und bzgl. Wiederherstellungspunkt.......'ne kreative Idee, funktioniert aber nicht bei Malware, da die Sys-Wiederherstellung nicht einen komplett sauberen Zustand wieder herstellt, bevor der Schädlingsbefall war, das kann nur ein Image.

Zitat:

Ok, dann muss ich das wohl machen, jedoch habe ich keine Ahnung wie ich das anstellen muss. Gibt es wo eine Anleitung ? Ich brauche dazu wohl die CD ?

Ja, brauchst Du!

http://www.trojaner-board.de/12154-a...sicherung.html

Bevor Du wieder ins I-net gehst, beachte das:

sicher-ins-netz.info - So schützen Sie Ihr System richtig --> habe ich schon in meinem letzten Post verlinkt

Sei in Zukunft vorsichtiger, sonst bist Du schneller wieder verseucht, als Dir lieb ist, es gibt Schöneres als format C:.

Ok, aber noch eine Frage: die Viren im C:\WINDOWS sind weg, ich höre keine Poups mehr, die Tracking Cookies sind auch nicht mehr zu finden, in den Verzeichnissen wo vorher was war ist nichts mehr, den Adware.Generic gibt es auch nicht mehr.
Also mir scheint es wirklich wie vorher zu sein.
Aber wie kann denn Malware die Systemwiederherstellung überstehen ?
Es werden ja die kürzlich verwendeten Dateien nicht gelöscht, meinst du das ? Das ein Virus da drinn ist oder wie ?

Ach ja, ich habe keine wichtigen Dinge wei online Banking oder sonstige vertrauliche Informationen auf dem PC

Jak

Lies das mal:

Systemwiederherstellung - Wikipedia

Insbes. diesen Punkt:

Zitat:

Durch das Wiederherstellen eines Wiederherstellungspunkts werden lediglich System- und Konfigurationsdateien zurückgesetzt, eigene Dateien des Computerbenutzers wie Spiele, Programme, Musik, Bilder, Videos etc. sind hiervon nicht betroffen.

Quelle: Link Wikipedia Sys-Wiederherstellung, --> Fettschrift durch mich

Du kannst ein derart infiziertes System nicht einfach durch die Sys-Wiederherstellung wieder "heilen", das wär schön, wenn das ginge......

Denn dann würden das alle machen, weiter "sorglos" drauflossurfen und alles mögliche ohne Rücksicht auf Verluste installieren, nach dem Motto: "Die Sys-Wiederherstellung wird's ja schon richten", aber das ist ein Irrtum.

Hast Du meinen Link von MS gelesen? Ich stelle ihn hier nochmal rein, MS schreibt das nicht ohne Grund....

Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun? – Microsoft TechNet: Rubrik Sicherheitsverwaltung

Lies mal, was Malware mit Virenscannern machen kann:

Drei Schwachstellen in Virenscanner ClamAV - heise Security

Virenschutz schlechter als vor einem Jahr - heise Security

Zitat:

Ach ja, ich habe keine wichtigen Dinge wei online Banking oder sonstige vertrauliche Informationen auf dem PC

Eine gute Voraussetzung für einen Neuanfang.

Nachtrag:

Malware wird nur dann vollständig entfernt, wenn Du formatierst, oder alternativ, ein aktuelles Image benutzt. Beim Zurückspielen des Images wird die Partition ebenfalls formatiert und so wiederhergestellt, wie es vor dem Befall war, das kann die Systemwiederherstellung aus den o. g. Gründen nicht leisten.

Voraussetzung ist natürlich, daß das Image aktuell ist, seinerzeit von einem sauberen System erstellt wurde, und möglichst auf einem externen Datenträger. Eine gute Software hierfür ist Acronis. M. M. nach wichtiger als "Schutz-Tools" etc., die können im Ernstfall eh nicht mehr helfen, sondern evtl. nur bei der Analyse. Ein Image aber schon, Du hast in ca. 10 Min. wieder ein laufffähiges, sauberes System, so wie es vorher war.

Ein Image entbindet Dich aber nicht davor, die Vorsicht beim Surfen außer acht zu lassen.