so habe mehrere viren gefunden und mich interessiert ob jemand weiss was diese genau bewirken. habe ein wenig gegooglet aber nach den KIMS ergebnissen ist nicht ganz klar was es ist. hier die ergebnisse (zur übersicht nur die avs die was gefunden haben):

Avast_Antivirus_Profesional_4.7.8.rar
runtergeladen bei chip.de!
AntiVir 7.6.0.65 2008.02.14 TR/Vundo.DWL.2
AVG 7.5.0.516 2008.02.13 SHeur.ANKW
BitDefender 7.2 2008.02.14 Trojan.Vundo.DWL
CAT-QuickHeal None 2008.02.13 TrojanDownloader.Small.hta
ClamAV 0.92 2008.02.14 Trojan.Vundo-947
DrWeb 4.44.0.09170 2008.02.14 Trojan.Mezzia.84
eSafe 7.0.15.0 2008.02.13 Win32.Dialer.yz
F-Secure 6.70.13260.0 2008.02.14 Trojan.Win32.Dialer.yz
Ikarus T3.1.1.20 2008.02.14 Trojan-Downloader.Win32.Small.hta
Kaspersky 7.0.0.125 2008.02.14 Trojan-Downloader.Win32.Small.hta
McAfee 5229 2008.02.13 New Malware.br
Microsoft 1.3204 2008.02.14 Dialer:Win32/Obfp.A
Panda 9.0.0.4 2008.02.14 Suspicious file
Prevx1 V2 2008.02.14 Heuristic: Suspicious File With Covert Attributes
Sophos 4.26.0 2008.02.14 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2008.02.14 Trojan.Mezzia.CY
Symantec 10 2008.02.14 Trojan.Vundo
TheHacker 6.2.9.219 2008.02.13 Trojan/Downloader.Small.hta
VBA32 3.12.6.1 2008.02.14 Trojan-Downloader.Win32.Small.hta
VirusBuster 4.3.26:9 2008.02.13 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2008.02.14 Trojan.Vundo.DWL.2

unp133575940.tmp
im avast ordner die install datei von avast persöhnlich runtergeladen wegen den obrigen ergebnissen von der avast install von chip.de
AntiVir 7.6.0.65 2008.02.14 HEUR/Damaged
CAT-QuickHeal None 2008.02.13 (Suspicious) - DNAScan
Prevx1 V2 2008.02.14 Heuristic: Suspicious Self Modifying File
Webwasher-Gateway 6.6.2 2008.02.14 Heuristic.Damaged

ssqro.dll
gefunden in C:\windows\system32
ausserdem immer wenn gelöscht ist sie meistens nachm restart wieder da.
AhnLab-V3 2008.2.14.11 2008.02.14 Win-Trojan/Agent.331776.P
AntiVir 7.6.0.65 2008.02.14 TR/Vundo.Gen
AVG 7.5.0.516 2008.02.13 Lop
BitDefender 7.2 2008.02.14 Trojan.Vundo.DXO
ClamAV 0.92 2008.02.14 Trojan.Vundo-1116
DrWeb 4.44.0.09170 2008.02.14 Trojan.Virtumod.268
eTrust-Vet 31.3.5536 2008.02.14 Win32/Vundo.LW
F-Prot 4.4.2.54 2008.02.13 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13260.0 2008.02.14 Vundo.gen53
Ikarus T3.1.1.20 2008.02.14 Trojan.Vundo.DXO
Kaspersky 7.0.0.125 2008.02.14 not-a-virus:AdWare.Win32.Virtumonde.gen
McAfee 5229 2008.02.13 Vundo
Microsoft 1.3204 2008.02.14 Trojan:Win32/Vundo.gen!A
Norman 5.80.02 2008.02.13 Vundo.gen53
Panda 9.0.0.4 2008.02.14 Spyware/Virtumonde
Prevx1 V2 2008.02.14 Trojan.Vundo
Sophos 4.26.0 2008.02.14 Troj/Virtum-Gen
Symantec 10 2008.02.14 Trojan.Vundo
VirusBuster 4.3.26:9 2008.02.13 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2008.02.14 Trojan.Vundo.Gen

zusätzlich hatte ich vor kurzem den berühmten scvhost.exe prozess im taskmanager. vorher allerdings den typischen Taskmanager, cmd und regedit lock der allerdings relativ einfach zu beheben ist. ihr wisst denke ich mal das dieser prozess ein cia.backdoor ist denjenigen habe ich zurückverfolgt und angezeigt, wobei er auch nicht sehr viel erfahrung hat wenn er den prozess schon so nennt^^ wer wissen möchte wie man disabled regedit,takmanager und cmd wieder aktiviert kann sich melden gibt ein schönes video darüber für alle die es noch nicht wissen. falls ich noch mehr finde sage ich bescheid. Hijack logfile folgt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:14:28, on 14.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\clipsrv.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
D:\Steam\Steam.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
c:\programme\avira\antivir personaledition classic\avscan.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashSimpl.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ngohq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ngohq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {23D6A7D8-7BF3-4432-8EE2-1685D45A7FEB} - C:\WINDOWS\system32\ssqro.dll (file missing)
O2 - BHO: (no name) - {38CE0322-C0EB-4ED1-B314-AD96960ABAFB} - C:\WINDOWS\system32\gebcc.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {8CD034DD-E9AD-47D3-8689-51886345799C} - C:\WINDOWS\system32\tuvwwwu.dll (file missing)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\yhlujzan.dll (file missing)
O2 - BHO: {9d38c37b-ca73-1369-dc54-7f9982ed9b5e} - {e5b9de28-99f7-45cd-9631-37acb73c83d9} - C:\WINDOWS\system32\jxqvrrlj.dll (file missing)
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BF6D1AA-46BB-4BFC-A760-28C2B903DEE9}: NameServer = 89.246.64.8 62.220.18.8
O20 - Winlogon Notify: tuvwwwu - tuvwwwu.dll (file missing)
O20 - Winlogon Notify: yhlujzan - yhlujzan.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 7236 bytes

Du hast dir da neben dem Vundo noch Trojandownloader eingefangen. Kann man entfernen ist aber nicht sicher da man nicht weiß welche Schädlinge da nachgeladen wurde. Die müssen auch nicht erkannt werden wenn das neue/modifizierte/laufzeitcodierte malware ist.

Also möchtest Du den sicheren Weg gehen und neu aufsetzen oder ein sauberes Image zurückspielen.

trotzdem würde mich stark interessieren was genau das für viren sind und was sie auslösen.

Zitat:

Zitat von sufffer

trotzdem würde mich stark interessieren was genau das für viren sind und was sie auslösen.

Hast Du mein Posting vorher gelesen? Ich habe nicht den Eindruck. Wie ich schon schrieb hast Du vundo drauf. Der nistet sich ziemlich tief ins System ein und sorgt u.a. für Werbung. Wer weiß was der noch so alles macht. Und Trojandownloader hab ich dir geschrieben. Da kann alles mögliche runtergeladen werden also unmöglich zu sagen was diese Dinger machen. Im schlimmsten Fall wird bei dir ein rootkit installiert und deine Kiste wird zum Spamrelais und Kinderpr0nserver

frag mich bloss was es mit unp133575940.tmp auf sich hat... das ist doch nicht normal.

Zitat:

Avast_Antivirus_Profesional_4.7.8.rar
runtergeladen bei chip.de!

Glaub ich nicht! Seit wann kann man die Prof-Version frei bei chip runterladen??!
Der Sache werd ich nachgehen!

klar kannst du die runterladen und dann den key eingeben...

Zitat:

Zitat von sufffer

klar kannst du die runterladen und dann den key eingeben...

Das stimmt nicht! Kannst mich vom Gegenteil überzeugen wenn du mir den Link zur Chip.de-Download Sektion zu "Avast_Antivirus_Profesional_4.7.8.rar" gibst!

Ich glaube du hast das die Datei wohl irgendwie vom Esel oder so gezogen das würde auch die Malware darin erklären. Selbst wenn Chip sowas anbieten würde, es kann auch vorkommen daß darin Viren drin sind aber nicht in diesem Maße wie bei "deiner" Datei.

Desweiteren mußt du allein schon deswegen das System neumachen:

Zitat:

zusätzlich hatte ich vor kurzem den berühmten scvhost.exe prozess im taskmanager. vorher allerdings den typischen Taskmanager, cmd und regedit lock der allerdings relativ einfach zu beheben ist. ihr wisst denke ich mal das dieser prozess ein cia.backdoor ist denjenigen habe ich

vllt. solltest du mal in Zukunft etwas mehr Vernunft walten lassen und nicht jeden scheiß aus illegalen Quellen ausführen