Zitat:

Grundsaetzlich bin ich ja immer fuer Format C: und Neuinstallation, aber
dass soll auf keinen Fall passieren.

Warum nicht? Was spricht dafür, daß zwingend bereinigt werden muß?

C:\WINDOWS\SYSTEM32\jkkKecyx.dll
C:\WINDOWS\system32\ldlgatht.dll

Werte diese Dateien bei Virustotal.com aus und poste die Ergebnisse. Danach sehen wir weiter.

Zitat:

Zitat von root24

Warum nicht? Was spricht dafür, daß zwingend bereinigt werden muß?

Toechterchen muss unbedingt ihre "lebenswichtigen" Kommunikationstools
mit ihren Einstellungen behalten.

Also let's go...

Zitat:

Datei ldlgatht.VIR000 empfangen 2008.05.24 20:20:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 21/32 (65.63%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 52 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.24 TR/Monder.DU
Authentium 5.1.0.4 2008.05.23 -
Avast 4.8.1195.0 2008.05.24 Win32:Monder-V
AVG 7.5.0.516 2008.05.24 Generic10.XOJ
BitDefender 7.2 2008.05.24 Trojan.Vundo.ELY
CAT-QuickHeal 9.50 2008.05.24 -
ClamAV None 2008.05.24 -
DrWeb 4.44.0.09170 2008.05.24 -
eSafe 7.0.15.0 2008.05.22 Suspicious File
eTrust-Vet 31.4.5817 2008.05.23 Win32/Vundo!generic
Ewido 4.0 2008.05.24 -
F-Prot 4.4.4.56 2008.05.23 W32/Virtumonde.R.gen!Eldorado
F-Secure 6.70.13260.0 2008.05.23 Vundo.gen177
Fortinet 3.14.0.0 2008.05.24 -
GData 2.0.7306.1023 2008.05.23 Trojan.Win32.Monder.du
Ikarus T3.1.1.26.0 2008.05.24 Win32.Rigel.6468
Kaspersky 7.0.0.125 2008.05.24 Trojan.Win32.Monder.du
McAfee 5302 2008.05.23 Vundo.gen.c
Microsoft 1.3520 2008.05.24 Trojan:Win32/Vundo.FBP
NOD32v2 3128 2008.05.23 Win32/Adware.Virtumonde
Norman 5.80.02 2008.05.23 W32/Virtumonde.VLQ
Panda 9.0.0.4 2008.05.24 -
Prevx1 V2 2008.05.24 Cloaked Malware
Rising 20.45.42.00 2008.05.23 -
Sophos 4.29.0 2008.05.24 Troj/Virtum-Gen
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.24 Trojan.Vundo
TheHacker 6.2.92.318 2008.05.23 Trojan/Monder.du
VBA32 3.12.6.6 2008.05.24 Trojan.Win32.Monder.du
VirusBuster 4.3.26:9 2008.05.24 -
Webwasher-Gateway 6.6.2 2008.05.24 Trojan.Monder.DU
weitere Informationen
File size: 92224 bytes
MD5...: 129546aba5149302553b3e08fd44dd52
SHA1..: 14cc2390da97d13228bd3031823a130926224196
SHA256: 4e703c85d6ca1978a3302200412d9eedf82bc7a16e61b54284457d2bc119fd1a
SHA512: 74f9c9b2466ba0030d5194bc2e94842795c996656207ec711064205ea2750644
72dfc44be064d59cc6e630dcec07cf6a41fdc223d09c7503ae6af071622ccc73
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100068c6
timedatestamp.....: 0xd335b799L (invalid)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x18000 0x5c00 7.77 79670fbfaccbfc5d85e71c897f292422
.data 0x19000 0x10000 0x10000 7.99 a9adeeba3309de5bbb43abf3f1125f51
.rdata 0x29000 0x1000 0x400 6.38 85027e8bed4ac884a25228835906ba3b
.idata 0x2a000 0x1000 0x400 0.77 8d4f4f05d98bec0aacc67b269e791438

( 1 imports )
> kernel32.dll: SleepEx, TlsAlloc, lstrlenA, ExitProcess

( 0 exports )
Prevx info: 61056511.VIR - Prevx

Zitat:

Die Datei wurde bereits analysiert:
MD5: 22c6b53ad7900203ca7bd688905a8435
First received: 2008.03.25 13:30:50 (CET)
Datum 2008.05.01 06:46:48 (CET) [>23D]
Ergebnisse 20/32
Permalink: analisis/b574b806b7d41729df8ad7933c7aab96

Zitat:

Datei jkkKecyx.dll empfangen 2008.05.01 06:46:48 (CET)
Status: Beendet
Ergebnis: 20/32 (62.50%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XPACK.Gen
Authentium - - -
Avast - - Win32:Crypt-BJR
AVG - - Generic10.FSO
BitDefender - - Trojan.Vundo.EEN
CAT-QuickHeal - - Trojan.Vundo.bhh
ClamAV - - Trojan.Vundo-2376
DrWeb - - -
eSafe - - -
eTrust-Vet - - Win32/Vundo.VQ
Ewido - - -
F-Prot - - W32/Virtumonde.N.gen!Eldorado
F-Secure - - -
FileAdvisor - - -
Fortinet - - Virtum!tr
Ikarus - - Trojan.Vundo.EEN
Kaspersky - - -
McAfee - - -
Microsoft - - Trojan:Win32/Vundo.gen!F
NOD32v2 - - Win32/Adware.Virtumonde
Norman - - W32/Vundo.BK
Panda - - Generic Trojan
Prevx1 - - SpywareQuake
Rising - - Trojan.Win32.Undef.fft
Sophos - - Troj/Virtum-Gen
Sunbelt - - Virtumonde
Symantec - - -
TheHacker - - -
VBA32 - - Win32.Adware.Virtumonde
VirusBuster - - -
Webwasher-Gateway - - Win32.Malware.gen#ASPack
weitere Informationen
MD5: 22c6b53ad7900203ca7bd688905a8435
SHA1: 98a0dc42c01b65bd35024ddf04aad15dccfd6eed
SHA256: 0569e7b51b3e0120bee62fe1ca0760cb16aac3fd9cf817a78e80cd840adb3010
SHA512: 0b36b10e5baa0d4ae2af0bd2703d5971e7b86298d8c1ad327608865f86ab73261443edafe870742500fd4810180d528a020df16cfaee1ad20e4a30e8cd43a9b8

Gibts ne Chance?

Probieren wirs mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

OK - abgearbeitet - mit maessigem Erfolg.

Mit CCleaner schien alles gut zu laufen.

Mit ComboFix zunaechst auch.
Nach dem von ComboFix initierten Neustart war zu lesen...

Zitat:

Bereite Logdatei vor - Starte keine Programme.........

AntiVir melde sich schon..TR/Crypt.XPACK.Gen

ComboFix

Zitat:

Fast Fertig - Dieses Bild wird sich in kuerze schliessen...
Bitte warten sie ein paar Sekunden, damit das log geoeffnet wird....

Die anderen "zig-Autostart-Programme" starten natuerlich auch.

Logfile-Fenster geht auf und ich starte den Versuch uber den einzigen
Browser (IE) hier das logfile zu posten. Nach kurzer Zeit, warnt der IE vor
Viren und Trojanern und will Software installieren und scannen. Ich "No"

Dann nochmal Neustart und AntiVir sagt wieder "TR/Crypt.XPACK.Gen" und
jetzt auch noch "TR/Vundo.Gen".

Der ComboFix Logfile scheint auch nicht mehr Board-konform ausgegallen zu
sein.

Zitat:

1. Der Text, den Sie eingegeben haben, besteht aus 202776 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen.

Deshalb mal hier mal unkonventionell zu Ansicht:

http://www.gigasoft.biz/combotext.txt

Hast Du vor Combofix denn auch Virenscannerwächter temp. deaktiviert? Solltest Du lt. der Anleitung!

Mit combofix alleine kannst Du nicht alles bereinigen, man muß noch manuell alles durchschauen und ggf. noch vorhandene schädliche Dateien löschen. Ich meld mich daher noch wie du da vorgehen solltest.

yepp, AntiVir war deativiert - stand ja in der Anleitung.

Nach dem von ComboFix verursachten Neustart war es natuerlich wieder aktiv.

Auf jeden Fall schonmal Vielen Dank fuer die Muehe die Du Dir machst!!!

Okay - werte mal diese Dateien bei Virustotal aus. AntiVir-Wächter davor wieder temp. deaktivieren, damit der nichts beeinflußt:

C:\WINDOWS\system32\mswstr10.dll
C:\WINDOWS\system32\msjint40.dll

Schmeiß auch mal das Norton-Geraffel vom System. Bleib bei AntiVir. Mehrere Virenscanner gleichzeitig sind mehr als ungünstig!

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.