Hallo zusammen.
Folgendes Problem:
Ich habe mir vor kurzem laut Avira Antivir den "TR/Monderb.317696.1" eingefangen. Er versteckte sich in einer *.dll-Datei im System32-Verzeichnis von Windows. Da man ihn nicht in Quarantäne verschieben oder löschen konnte, sondern das Avira-Fenster mit dem tollen Piepton ein ums andere mal erneut auftauchte, probierte ich verschiede Varianten aus:
- im abgesicherten Modus war genau das gleiche Problem
- Hijack konnte mir nicht weiterhelfen
- Autostart-Einträge löschen half auch nicht weiter (oh Wunder)
- der CCleaner hat auch nichts gebracht
- AVZ hab ich nur mit aktiviertem Guard ausgeführt, ebenfalls keine Fortschritte

Schließlich stieß ich im Avira-Forum auf folgenden Hinweis:

Zitat:

Malwarebytes Anti - Malware
bitte von hier downloadenhttp://www.majorgeeks.com

Starte das Programm
und mache ein online update
überprüfe ob Du die aktuellsten Virendefinitionen hast
schließe ALLE Anwendungen - Auch deinen Browser
Wähle ALLE Laufwerke
Drücke Starte SCAN
Warte bis der Scan durchgelaufen ist
Nach dem Scan > Remove selected / Ausgewähltes entfernen - damit geht alles in die Quarantäne

Auch den Antivirguard deaktivieren und während des Scans vom Internet trennen. Nach dem Scan Guard wieder aktivieren und Verbindung wieder herstellen.

Nachdem ich die Schritte durchgeführt hatte, den Guard deaktiviert und die Suche am laufen war, spuckte er mir 40 Funde aus, die ich alle beheben ließ. Die laut Antivir verseuchte dll-Datei war auch dabei, konnte allerdings nicht direkt in Quarantäne verschoben werden, sondern dazu musste ich erst neustarten.
Nach dem Neustart tauchte ein letztes Mal das bekannte Antivir-Popup auf, allerdings mit einem gravierenden Unterschied: Nachdem ich auf "Löschen" geklickt habe, verschwand die Datei mit dem Virus und ward nicht mehr gesehen. Auch der anschließende Avira-Komplettscan förderte keine Funde mehr zu Tage.
Laut einem Kompetenzteam'ler

Zitat:

befinden sich sicherlich noch Vundo Teile auf deinem Rechner.

Meine Frage: Wie krieg ich das raus und wie entferne ich sie?
Braucht ihr einen Hijack-Log, den AVZ-Log oder was anderes?
Bin um jede Hilfe echt dankbar!
MfG, zyklotron


PS: Wie hänge ich überhaupt den AVZ-Log an? Zips sind ja nicht erlaubt... Woanders uploaden?
PPS: Ups, der Titel sollte natürlich "TR/Monderb.317696.1 eingefangen" heißen.

Halli hallo; da bist du ja..

Zitat:

Braucht ihr einen Hijack-Log, den AVZ-Log oder was anderes?

Beides! Immer her damit.

Guten Morgen,
danke für die schnelle Antwort
Hier nun die beiden Logs:
AVZ
Hijack:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:34:04, on 03.07.2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\Samsung\PanelMgr\SSMMgr.exe
C:\Windows\sttray.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=5070425
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=5070425
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O13 - Gopher Prefix: 
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 6757 bytes
         

Hallöl führe bitte unter File->Custom Skripts folgenden Skript aus:

Zitat:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{0026439F-A980-4f18-8C95-4F1CBBF9C1D8}');
QuarantineFile('C:\Program Files\BAE\BAE.dll','');
QuarantineFile('C:\Windows\System32\Drivers\spal.sys','');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Nach dem Reboot bitte den hier ausführen:

Zitat:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine1.zip');
end.

Und die Zip Datei auf unseren Server hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

Moin!
Habe die Schritte ausgeführt, allerdings ohne vorher den Antivir-Guard zu deaktivieren. Ist das schlimm?
Nach dem Reboot hatte Windows ein "Unbekanntes Gerät gefunden" und wollte Treiber installieren...
Was sind das eigentlich für dll-Dateien und woher weißt du, dass sie schädlich sind? Und warum schlägt Antivir da nicht an?

Wenn ich die zip-Datei beim Upload-Channel hochladen will, kommt folgender Fehler:

Zitat:

Datei: quarantine 1.zip empfangen

Fehler: Die Dateien konnten nicht empfangen werden. Bitte melden Sie sich im Forum.

Dreimal hab ich es probiert, jetzt gibt es wieder einen Rapidshare-Link:
hier klicken
MfG zyklotron

Zitat:

Nach dem Reboot hatte Windows ein "Unbekanntes Gerät gefunden" und wollte Treiber installieren...

Welches? Hast du die Installation ausführen lassen?

Kann sein, dass das einer der Treiber in der Quarantäne nicht schädlich ist sondern zu einem Gerät auf deinem Rechner gehört. Daher wollte ich die auch haben..

Zitat:

Dreimal hab ich es probiert, jetzt gibt es wieder einen Rapidshare-Link:

Ist dreimal angekommen.. ^^
Die Fehlermeldung muss noch beseitigt werden..

Ich weiss ja nicht was du für ein Passwort verwendet hast aber "infected" ist es nicht.