hallo, also ich hab nich wirklich erfahrung mit der ganzen sache hier. aber gut also mein antivir zeigt mir eben diesen TR/Vundo.ELW trojaner. Und der is in so ner Datei C:Windows:System32:usw...

Immer wieder stürzt auch mal der explorer ab und drwtsn32.exe reagiert nicht...

Also wie krieg ich den wieder weg? hab schon solche vundo entferner laufen lassen aber die erkennen nix

und ich hab noch son hijack file gemacht..wenns euch hilft:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:05:33, on 15.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Cyberlink\PDVDServ.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
D:\DAEMON Tools Lite\daemon.exe
D:\OpenOffice\OpenOffice.org 3\program\soffice.exe
D:\OpenOffice\OpenOffice.org 3\program\soffice.bin
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\DVBViewer\dvbviewer.exe
D:\hijack\HijackThis.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sygate.com/swat/support/spf50_reg.htm
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {F1B2B165-FBF2-4EB3-98FF-9CF5506062B5} - C:\WINDOWS\system32\pmnoOGvt.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] D:\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] D:\Cyberlink\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] D:\Cyberlink\Language\Language.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = D:\OpenOffice\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F994BDB-92A9-4580-969D-4B58BCDCB5A6}: NameServer = 195.50.140.252 195.50.140.114
O20 - Winlogon Notify: pmnoOGvt - C:\WINDOWS\SYSTEM32\pmnoOGvt.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\SPF\smc.exe

--
End of file - 4442 bytes

Halli hallo.

Lasse bitte Anti_Malware und SUPERAntiSpyware dein System überprüfen.. Anleitungen gibt's in meiner Signatur.

Also dieses Malware stürzt bei mir zum schluss ab wenn ich die dateien löschen will.

Bei Superanti kommt folgendes raus:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 05/16/2008 at 02:56 PM

Application Version : 4.0.1154

Core Rules Database Version : 3462
Trace Rules Database Version: 1453

Scan type : Complete Scan
Total Scan Time : 00:13:12

Memory items scanned : 578
Memory threats detected : 1
Registry items scanned : 4627
Registry threats detected : 6
File items scanned : 29743
File threats detected : 6

Trojan.Vundo-Variant/Small
C:\WINDOWS\SYSTEM32\PMNOOGVT.DLL
C:\WINDOWS\SYSTEM32\PMNOOGVT.DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F1B2B165-FBF2-4EB3-98FF-9CF5506062B5}
HKCR\CLSID\{F1B2B165-FBF2-4EB3-98FF-9CF5506062B5}
HKCR\CLSID\{F1B2B165-FBF2-4EB3-98FF-9CF5506062B5}\InprocServer32
HKCR\CLSID\{F1B2B165-FBF2-4EB3-98FF-9CF5506062B5}\InprocServer32#ThreadingModel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks#{F1B2B165-FBF2-4EB3-98FF-9CF5506062B5}
Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify\pmnoOGvt

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\chiefrocker\Cookies\chiefrocker@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\chiefrocker\Cookies\chiefrocker@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\chiefrocker\Cookies\chiefrocker@atdmt[1].txt
C:\Dokumente und Einstellungen\chiefrocker\Cookies\chiefrocker@cgi-bin[2].txt
C:\Dokumente und Einstellungen\chiefrocker\Cookies\chiefrocker@serving-sys[2].txt


kann ich jetz all die dateien mit dem programm löschen? Danke für die Hilfe!!

Zitat:

kann ich jetz all die dateien mit dem programm löschen? Danke für die Hilfe!!

Ja, das kannst du.

Poste bitte das Anti-Malware log!

also file von superanti:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 05/16/2008 at 06:04 PM

Application Version : 4.0.1154

Core Rules Database Version : 3462
Trace Rules Database Version: 1453

Scan type : Complete Scan
Total Scan Time : 00:26:39

Memory items scanned : 546
Memory threats detected : 0
Registry items scanned : 4624
Registry threats detected : 0
File items scanned : 55976
File threats detected : 0


und file von malware:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 755

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 59673
Scan Dauer: 8 minute(s), 11 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


müsste alles wieder passen oder

Jup, wenn du keine Probleme mehr hast dann bist du entlassen.