Hallo! Toll, dass es dieses Forum gibt!
Ich habe mir vor ein zwei Tage etwas eingefangen.
Mit der neusten Version von Spybot konnte ich Virtumonde finden und vernichten , ist seitdem nicht mehr aufgetaucht.
Dann habe ich noch mal Malwarebytes' laufen lassen, das hat noch so einiges vom Vundo-Trojaner aufgedeckt. Habe ich natürlich entfernen lassen, und dann war's auch weg (hab auch Vundofix mehrmals ohne Ergebnis laufen lassen). Beim letzten Scan gerade waren allerdings wieder ein paar Dateien dabei.

Was sich hartnäckig hält, ist das Problem mit dem iexplore.exe-Prozess, der nach Beendung immer wieder auftaucht, samt hin und wieder Werbepop-ups. Ebenso der Registry Key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan", der bei jedem Scan wieder da ist (nach Neustart jedenfalls, hab jetzt nicht im Kopf, ob ich auch mal zwei Mal ohne Neustart gescannt hab...).

Hab schon die anderen Threads zu dem Thema gelesen, aber ohne einen speziellen Tipp komm ich selbst nicht weiter.
Hier erst mal das Log meiner letzten Malwarebytes'-Aktion:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 941
Windows 5.1.2600 Service Pack 2

19:43:31 12.07.2008
mbam-log-7-12-2008 (19-43-31).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 140592
Scan Dauer: 49 minute(s), 13 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\jkkHXPGX.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\jkkIBUon.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{595D2CB6-6E96-420B-91FF-42CFD364B4D8}\RP135\A0046701.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{595D2CB6-6E96-420B-91FF-42CFD364B4D8}\RP135\A0046702.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
         

Und hier mein Hijackthis-Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:46:30, on 12.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\meinName\Internetprogramme\SpyBot1-6\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\udG7Dl7w.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\meinName\Internetprogramme\HijackThis\HjT2-0-2.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: {e4b4f41e-4616-0f9b-1d94-75077a9390f1} - {1f0939a7-7057-49d1-b9f0-6164e14f4b4e} - C:\WINDOWS\system32\npfirj.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\meinName\INTERN~1\SPYBOT~2\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\meinName\Internetprogramme\SpyBot1-6\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [MSServer] rundll32.exe C:\DOKUME~1\LOCALS~1\LOKALE~1\Temp\jkkHXPGX.dll,#1 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\andreas\INTERN~1\SPYBOT~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\meinName\INTERN~1\SPYBOT~2\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4607 bytes
         

Ihr könnt mir bestimmt helfen.

PS: Einfach eine Systemwiederherstellung ist wahrscheinlich kein Mittel gegen sowas...?

hey, ich hatte vor ein paar wochen das selbe problem:

http://************************/dboard/showthread.php?tid=460

hoffe das hilft

Danke, aber hattest du auch immer diesen iexplore-Prozess im Taskmanager? Wenn man hier um Hilfe fragt, soll man ja erstmal abwarten, was die Experten sagen, sonst gibt's nur Verwirrung, wenn man zwischendurch was macht.

Was ich noch vergessen hatte: manchmal spielt er auch Audiodateien im Hintergrund. Einmal ne Werbung und gerade einfach nur ein längeres Geräusch...?

(Liegt das nur an der Zeit oder warum find ich den edit-Button nicht mehr...? sorry)

Ich hab grad nochmal gescannt, ohne Neustart zwischendurch, der RegKey war trotzdem schon wieder da.

Hallo Psychobyte,

Erstmal folgendes: Virtumonde ist ein Trivialname für Vundo, das mit dem Audiogeräusch ist mit Sicherheit ein Popup, den du blockst, nur die Audiogeräusche halt nicht.

Prüfe mal folgende Dateien bei VirusTotal - Free Online Virus and Malware Scan :

Zitat:

C:\WINDOWS\system32\udG7Dl7w.exe

Zitat:

C:\WINDOWS\system32\npfirj.dll

Ansonsten würde ich warten, bis hier ein User aus dem Kompetenzteam postet, um dir ein evtl. entsprechenden Bereinigungsweg vorschlägt.

mfg

Hier das Ergebnis der ersten Datei:

Code: Alles auswählenAufklappen

ATTFilter

Datei udG7Dl7w.exe empfangen 2008.07.13 10:19:14 (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.7.11.0	2008.07.11	-
AntiVir	7.8.0.64	2008.07.11	TR/Crypt.ULPM.Gen
Authentium	5.1.0.4	2008.07.13	-
Avast	4.8.1195.0	2008.07.13	Win32:Trojan-gen {Other}
AVG	7.5.0.516	2008.07.12	Generic10.BBXO
BitDefender	7.2	2008.07.13	-
CAT-QuickHeal	9.50	2008.07.11	-
ClamAV	0.93.1	2008.07.13	-
DrWeb	4.44.0.09170	2008.07.12	-
eSafe	7.0.17.0	2008.07.10	Suspicious File
eTrust-Vet	31.6.5949	2008.07.12	-
Ewido	4.0	2008.07.12	-
F-Prot	4.4.4.56	2008.07.13	-
F-Secure	7.60.13501.0	2008.07.12	-
Fortinet	3.14.0.0	2008.07.13	-
GData	2.0.7306.1023	2008.07.13	Trojan-Downloader.Win32.Agent.vyy
Ikarus	T3.1.1.26.0	2008.07.13	Trojan.Crypt.ULPM
Kaspersky	7.0.0.125	2008.07.13	Trojan-Downloader.Win32.Agent.vyy
McAfee	5337	2008.07.11	-
Microsoft	1.3704	2008.07.13	-
NOD32v2	3263	2008.07.11	probably unknown NewHeur_PE virus
Norman	5.80.02	2008.07.11	-
Panda	9.0.0.4	2008.07.12	Suspicious file
Prevx1	V2	2008.07.13	Malicious Software
Rising	20.52.61.00	2008.07.13	-
Sophos	4.31.0	2008.07.13	Mal/HckPk-A
Sunbelt	3.1.1536.1	2008.07.12	-
Symantec	10	2008.07.13	-
TheHacker	6.2.96.378	2008.07.13	-
TrendMicro	8.700.0.1004	2008.07.11	PAK_Generic.001
VBA32	3.12.6.9	2008.07.12	-
VirusBuster	4.5.11.0	2008.07.12	-
Webwasher-Gateway	6.6.2	2008.07.11	Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 35842 bytes
MD5...: 864f0d4577cd999eaba97ecdb9eaf10e
SHA1..: 60fd8207303048309ad5ada2cf3a9f823cc07c82
SHA256: ec9e2589d4b6c58c600a61a2d0948db2e59108ad1a1f9399da811c72c7a8f80e
SHA512: 03c265e9434a77f06e3b5e34935a5ef63c7df466cc9db1d24cd9fed53fa17330<br>d48100ad66f7500f06ba8586c6455433bac8a3ef072e9fda49d9b144bca8e9b6
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4141f9<br>timedatestamp.....: 0x4877a369 (Fri Jul 11 18:16:09 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>UPX1 0xc000 0x9000 0x8400 7.98 2b99c4cb98f3455ab2349ca9fa649b29<br>UPX2 0x15000 0x1000 0x400 2.73 af8114c7acc7de4abf32e98010e97503<br><br>( 9 imports ) <br>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<br>&gt; ADVAPI32.dll: RegCloseKey<br>&gt; NETAPI32.dll: NetScheduleJobAdd<br>&gt; ole32.dll: CoInitialize<br>&gt; OLEAUT32.dll: -<br>&gt; SHELL32.dll: StrChrA<br>&gt; SHLWAPI.dll: StrDupA<br>&gt; USER32.dll: wsprintfA<br>&gt; WININET.dll: InternetOpenA<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=ED1D8D4E02FBC4108CC3006981F6B20011108E66

Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.7.11.0	2008.07.11	-
AntiVir	7.8.0.64	2008.07.11	TR/Crypt.ULPM.Gen
Authentium	5.1.0.4	2008.07.13	-
Avast	4.8.1195.0	2008.07.13	Win32:Trojan-gen {Other}
AVG	7.5.0.516	2008.07.12	Generic10.BBXO
BitDefender	7.2	2008.07.13	-
CAT-QuickHeal	9.50	2008.07.11	-
ClamAV	0.93.1	2008.07.13	-
DrWeb	4.44.0.09170	2008.07.12	-
eSafe	7.0.17.0	2008.07.10	Suspicious File
eTrust-Vet	31.6.5949	2008.07.12	-
Ewido	4.0	2008.07.12	-
F-Prot	4.4.4.56	2008.07.13	-
F-Secure	7.60.13501.0	2008.07.12	-
Fortinet	3.14.0.0	2008.07.13	-
GData	2.0.7306.1023	2008.07.13	Trojan-Downloader.Win32.Agent.vyy
Ikarus	T3.1.1.26.0	2008.07.13	Trojan.Crypt.ULPM
Kaspersky	7.0.0.125	2008.07.13	Trojan-Downloader.Win32.Agent.vyy
McAfee	5337	2008.07.11	-
Microsoft	1.3704	2008.07.13	-
NOD32v2	3263	2008.07.11	probably unknown NewHeur_PE virus
Norman	5.80.02	2008.07.11	-
Panda	9.0.0.4	2008.07.12	Suspicious file
Prevx1	V2	2008.07.13	Malicious Software
Rising	20.52.61.00	2008.07.13	-
Sophos	4.31.0	2008.07.13	Mal/HckPk-A
Sunbelt	3.1.1536.1	2008.07.12	-
Symantec	10	2008.07.13	-
TheHacker	6.2.96.378	2008.07.13	-
TrendMicro	8.700.0.1004	2008.07.11	PAK_Generic.001
VBA32	3.12.6.9	2008.07.12	-
VirusBuster	4.5.11.0	2008.07.12	-
Webwasher-Gateway	6.6.2	2008.07.11	Trojan.Crypt.ULPM.Gen

weitere Informationen
File size: 35842 bytes
MD5...: 864f0d4577cd999eaba97ecdb9eaf10e
SHA1..: 60fd8207303048309ad5ada2cf3a9f823cc07c82
SHA256: ec9e2589d4b6c58c600a61a2d0948db2e59108ad1a1f9399da811c72c7a8f80e
SHA512: 03c265e9434a77f06e3b5e34935a5ef63c7df466cc9db1d24cd9fed53fa17330<br>d48100ad66f7500f06ba8586c6455433bac8a3ef072e9fda49d9b144bca8e9b6
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4141f9<br>timedatestamp.....: 0x4877a369 (Fri Jul 11 18:16:09 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name        viradd    virsiz   rawdsiz  ntrpy  md5<br>UPX0        0x1000    0xb000       0x0   0.00  d41d8cd98f00b204e9800998ecf8427e<br>UPX1        0xc000    0x9000    0x8400   7.98  2b99c4cb98f3455ab2349ca9fa649b29<br>UPX2       0x15000    0x1000     0x400   2.73  af8114c7acc7de4abf32e98010e97503<br><br>( 9 imports )  <br>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<br>&gt; ADVAPI32.dll: RegCloseKey<br>&gt; NETAPI32.dll: NetScheduleJobAdd<br>&gt; ole32.dll: CoInitialize<br>&gt; OLEAUT32.dll: -<br>&gt; SHELL32.dll: StrChrA<br>&gt; SHLWAPI.dll: StrDupA<br>&gt; USER32.dll: wsprintfA<br>&gt; WININET.dll: InternetOpenA<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=ED1D8D4E02FBC4108CC3006981F6B20011108E66
         

Und Nummer zwei:

Code: Alles auswählenAufklappen

ATTFilter

Datei npfirj.dll empfangen 2008.07.13 10:30:13 (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.7.11.0	2008.07.11	-
AntiVir	7.8.0.64	2008.07.11	TR/Crypt.XPACK.Gen
Authentium	5.1.0.4	2008.07.13	-
Avast	4.8.1195.0	2008.07.13	Win32:Trojan-gen {Other}
AVG	7.5.0.516	2008.07.12	Vundo.U
BitDefender	7.2	2008.07.13	Trojan.Vundo.EWS
CAT-QuickHeal	9.50	2008.07.11	-
ClamAV	0.93.1	2008.07.13	-
DrWeb	4.44.0.09170	2008.07.12	-
eSafe	7.0.17.0	2008.07.10	Suspicious File
eTrust-Vet	31.6.5949	2008.07.12	-
Ewido	4.0	2008.07.12	-
F-Prot	4.4.4.56	2008.07.13	W32/Virtumonde.AB.gen!Eldorado
F-Secure	7.60.13501.0	2008.07.12	-
Fortinet	3.14.0.0	2008.07.13	W32/Monderc!tr
GData	2.0.7306.1023	2008.07.13	Trojan.Win32.Monderc.gen
Ikarus	T3.1.1.26.0	2008.07.13	Virus.Trojan.Win32.Monderc
Kaspersky	7.0.0.125	2008.07.13	Trojan.Win32.Monderc.gen
McAfee	5337	2008.07.11	-
Microsoft	1.3704	2008.07.13	Trojan:Win32/Vundo.gen!R
NOD32v2	3263	2008.07.11	-
Norman	5.80.02	2008.07.11	Vundo.gen192
Panda	9.0.0.4	2008.07.12	-
Prevx1	V2	2008.07.13	Cloaked Malware
Rising	20.52.61.00	2008.07.13	-
Sophos	4.31.0	2008.07.13	Mal/Generic-A
Sunbelt	3.1.1536.1	2008.07.12	-
Symantec	10	2008.07.13	-
TheHacker	6.2.96.378	2008.07.13	-
TrendMicro	8.700.0.1004	2008.07.11	-
VBA32	3.12.6.9	2008.07.12	-
VirusBuster	4.5.11.0	2008.07.12	-
Webwasher-Gateway	6.6.2	2008.07.11	Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 103424 bytes
MD5...: 567ceb199ac8059c434f556731100189
SHA1..: f2650b46a3f8b85557d9d7f657496d7a76fbb875
SHA256: ee55b4261f078e3b6f2485beda9dac6907ba349384ced2324465c86c2382017d
SHA512: 6a465ee6ec8ab02f92a5ef7620bdad23cd8a888d738181a39c98b710b8ad57f6<br>0176f093b5992fb6dc48b06e4fc03df376132b361dd66a102b095b3fc4ac24e7
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100358ff<br>timedatestamp.....: 0x8075c346L (invalid)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.data 0x1000 0x34000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.text 0x35000 0x1077 0x1200 6.10 f3ec8e22c3678eae1fa78845da7f37bb<br>.rdata 0x37000 0x18000 0x17400 8.00 82e2e521af6bbd935c13fb302f8e1bdc<br>.idata 0x4f000 0x1000 0x600 3.88 b780b4d05514c5e2527148496316b702<br>.reloc 0x50000 0x1000 0x400 0.82 160039d78ed8a0cf9e2fc0d3cc6bc8a8<br><br>( 4 imports ) <br>&gt; kernel32.dll: HeapCreate, PulseEvent, HeapUnlock, GetEnvironmentVariableW, GetProcessHeaps, ExpandEnvironmentStringsA, CompareStringW, ReleaseMutex, InterlockedExchangeAdd, lstrlen, GetModuleHandleA<br>&gt; gdi32.dll: Polyline, CreateBitmap, GdiConvertBrush, CreateEllipticRgnIndirect, CreateRoundRectRgn, EnumFontsA, RestoreDC<br>&gt; comdlg32.dll: WantArrows, FindTextA, PrintDlgExA, ChooseColorA, GetSaveFileNameA, dwLBSubclass, LoadAlterBitmap, GetFileTitleA, CommDlgExtendedError, ReplaceTextA, Ssync_ANSI_UNICODE_Struct_For_WOW, PageSetupDlgA, ChooseFontA, PrintDlgA<br>&gt; shell32.dll: StrStrA, ExtractIconEx, CommandLineToArgvW, StrCmpNW, DragQueryPoint, StrNCmpIW, StrCmpNIA, StrStrIW, StrCmpNA, StrStrW, SHChangeNotify, StrChrIA, ExtractIconA, InternalExtractIconListA<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8AEFB44F00329F1B94ED013B3C2E07001874F159

Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.7.11.0	2008.07.11	-
AntiVir	7.8.0.64	2008.07.11	TR/Crypt.XPACK.Gen
Authentium	5.1.0.4	2008.07.13	-
Avast	4.8.1195.0	2008.07.13	Win32:Trojan-gen {Other}
AVG	7.5.0.516	2008.07.12	Vundo.U
BitDefender	7.2	2008.07.13	Trojan.Vundo.EWS
CAT-QuickHeal	9.50	2008.07.11	-
ClamAV	0.93.1	2008.07.13	-
DrWeb	4.44.0.09170	2008.07.12	-
eSafe	7.0.17.0	2008.07.10	Suspicious File
eTrust-Vet	31.6.5949	2008.07.12	-
Ewido	4.0	2008.07.12	-
F-Prot	4.4.4.56	2008.07.13	W32/Virtumonde.AB.gen!Eldorado
F-Secure	7.60.13501.0	2008.07.12	-
Fortinet	3.14.0.0	2008.07.13	W32/Monderc!tr
GData	2.0.7306.1023	2008.07.13	Trojan.Win32.Monderc.gen
Ikarus	T3.1.1.26.0	2008.07.13	Virus.Trojan.Win32.Monderc
Kaspersky	7.0.0.125	2008.07.13	Trojan.Win32.Monderc.gen
McAfee	5337	2008.07.11	-
Microsoft	1.3704	2008.07.13	Trojan:Win32/Vundo.gen!R
NOD32v2	3263	2008.07.11	-
Norman	5.80.02	2008.07.11	Vundo.gen192
Panda	9.0.0.4	2008.07.12	-
Prevx1	V2	2008.07.13	Cloaked Malware
Rising	20.52.61.00	2008.07.13	-
Sophos	4.31.0	2008.07.13	Mal/Generic-A
Sunbelt	3.1.1536.1	2008.07.12	-
Symantec	10	2008.07.13	-
TheHacker	6.2.96.378	2008.07.13	-
TrendMicro	8.700.0.1004	2008.07.11	-
VBA32	3.12.6.9	2008.07.12	-
VirusBuster	4.5.11.0	2008.07.12	-
Webwasher-Gateway	6.6.2	2008.07.11	Trojan.Crypt.XPACK.Gen

weitere Informationen
File size: 103424 bytes
MD5...: 567ceb199ac8059c434f556731100189
SHA1..: f2650b46a3f8b85557d9d7f657496d7a76fbb875
SHA256: ee55b4261f078e3b6f2485beda9dac6907ba349384ced2324465c86c2382017d
SHA512: 6a465ee6ec8ab02f92a5ef7620bdad23cd8a888d738181a39c98b710b8ad57f6<br>0176f093b5992fb6dc48b06e4fc03df376132b361dd66a102b095b3fc4ac24e7
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100358ff<br>timedatestamp.....: 0x8075c346L (invalid)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name        viradd    virsiz   rawdsiz  ntrpy  md5<br>.data       0x1000   0x34000       0x0   0.00  d41d8cd98f00b204e9800998ecf8427e<br>.text      0x35000    0x1077    0x1200   6.10  f3ec8e22c3678eae1fa78845da7f37bb<br>.rdata     0x37000   0x18000   0x17400   8.00  82e2e521af6bbd935c13fb302f8e1bdc<br>.idata     0x4f000    0x1000     0x600   3.88  b780b4d05514c5e2527148496316b702<br>.reloc     0x50000    0x1000     0x400   0.82  160039d78ed8a0cf9e2fc0d3cc6bc8a8<br><br>( 4 imports )  <br>&gt; kernel32.dll: HeapCreate, PulseEvent, HeapUnlock, GetEnvironmentVariableW, GetProcessHeaps, ExpandEnvironmentStringsA, CompareStringW, ReleaseMutex, InterlockedExchangeAdd, lstrlen, GetModuleHandleA<br>&gt; gdi32.dll: Polyline, CreateBitmap, GdiConvertBrush, CreateEllipticRgnIndirect, CreateRoundRectRgn, EnumFontsA, RestoreDC<br>&gt; comdlg32.dll: WantArrows, FindTextA, PrintDlgExA, ChooseColorA, GetSaveFileNameA, dwLBSubclass, LoadAlterBitmap, GetFileTitleA, CommDlgExtendedError, ReplaceTextA, Ssync_ANSI_UNICODE_Struct_For_WOW, PageSetupDlgA, ChooseFontA, PrintDlgA<br>&gt; shell32.dll: StrStrA, ExtractIconEx, CommandLineToArgvW, StrCmpNW, DragQueryPoint, StrNCmpIW, StrCmpNIA, StrStrIW, StrCmpNA, StrStrW, SHChangeNotify, StrChrIA, ExtractIconA, InternalExtractIconListA<br><br>( 0 exports ) <br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8AEFB44F00329F1B94ED013B3C2E07001874F159
         

Das waren ja schon mal Treffer, danke! -Warte auf weitere Anweisungen.

Also da es sich bei der ersten Datei um einen Trojan-Downloader handelt, wäre es natürlich sicherer ein Neuaufsetzen in Betracht zu ziehen, da ich in dem Fall eine Bereinigung sinnlos finde.

Sicherer wär das natürlich, aber angesichts der diversen GBs, die ich da erstmal sichern muss (ja, ich weiß, hätte man beizeiten machen können), wäre das meine letzte Option, vorerst zumindest.
Jetzt möcht ich erstmal wissen, wie ich diese Dateien und den MS Juan RegKey sauber runter bekomme. Vielleicht hab ich ja Glück und das war's. Ich hab schon die ganze Zeit den Stecker raus, nur um hier nachzuschauen, und den Taskmanager immer im Auge.
Hoffentlich meldet sich bald ein Kompetenzler.

Ich hab das jetzt mal beobachtet:
Ich habe zwei Prozesse, HlWMxCsb.exe und udG7DI7w.exe, die immer pünktlich zur vollen Stunde aufkreuzen (d.h., wenn ich sage, dass die volle Stunde ist, hehe). Der iexplore.exe taucht zwischendurch nicht mehr auf, Pop-ups hatte ich heute auch noch keine.

Kann ich noch mit einer Antwort rechnen? Ich will nicht undankbar klingen, weiß ja, dass hier noch etliche andere Problemfälle sind. Langfristig werd ich wohl das System neu aufsetzen, aber da die Datensicherung eine Weile dauern wird, wär es toll, wenn mich jemand anleitet, wie ich bis dahin das Gröbste runter bekomme...

Ich weise vorsorglich schon mal darauf hin, dass ich ab Freitag mittag einige Tage unterwegs bin. Also bitte nicht wundern, Tipps setze ich dann gleich um, sobald ich wieder da bin!