Hallo

ich habe mir den TR/Monder.32256 Virus eingefangen allerdings stellt der bei mir andscheinend etwas andere sachen an, als in den berichten, die ich auf diesem forum und mit google gefunden habe. Mein Pc ist nicht mehr funktionsfähig und ich poste hier von einem anderen pc aus.

Heute startete ich ein AntiVir update (weil mein Browser manche seiten nicht mehr angezeigt hatte) und als es fertig war, ging sofort die meldung auf, dass eine gewisse mlJBSiFU.dll im system32 ordner ein TR/Monder.32256 Virus sei. Egal welche der Optionen, die AntiVir zu verfügung stellt, (löschen, quarantäne, ignorieren...) ich anklickte, die Meldung tat sich sofort erneut auf. Nach einem Neustart gingen sofort ca 10 meldungen von AntiVir auf, genau die selben wie vorhin nur dass jetzt auch noch die Rede von einer xuvohyl.dll die rede war. ich kann kein programm richtige starten, weil die antivir meldungen alles überdecken. für jede meldung die ich wegklicke kommen sofort neue.
Das hab ich alles probiert:
- mit dem taskmanager antivir deaktivieren, damit die meldungen aufhören => windows fehlermeldung, antivir bleibt aktiv
- die dll files manuell löschen => windows fehlermeldung "die datei wird von einem anderen programm verwendet"
- systemwiederherstellung => auch nicht möglich


ich hab in einem andern thread von SDFix gelesen...allerdings weiß ich nicht ob das in meinem fall was bringt und überhaupt weiß ich nicht, ob ich in der lage bin, das tool auf dem kaputten pc zu installieren...

Vielen Dank für Antworten...

Hi und

Versuchen wirs gleich mal etwas anders
Hol dir The Avenger (Link ist in meiner Signatur)
-Starte ihn
-Gib im weissen Feld folgenden Text ein:

Zitat:

files to delete:
C:\Windows\System32\mlJBSiFU.dll
C:\Windows\System32\xuvohyl.dll

-drücke auf "Execute"
-du wirst gefragt ob du Neustarten möchtest!---> Antworte mit Ja
-Nachdem du gerebootet hast wird dir eine Text Datei gezeigt, die du auch unter C:\Avenger findest. Den Inhalt dieser Text Datei bitte hier rein posten

Danach lässt du bitte Malwarebytes laufen, lass alles löschen was er findet und poste das Log.
Zum Schluss erstellst du mit HijackThis ein Logfile und postest dieses ebenfalls

Hi

Danke für die Tipps, andscheinend hab ich damit mein system wieder hingekriegt, nur eines verwirrt mich: beim hochfahren komm seit der infizierung immer die Meldung von wegen Konnte die .dll file nicht finden, error...
diese meldung is immernoch da, das ist zwar nicht so schlimm aber wer weiß was noch so da ist

ok, hab folgendes gemacht (logs sind angehängt):

als erstes Anti-Malware durchlaufen lassen (da war dein post noch garnicht da), es wurden einige sachen gefunden und nach reboot scheinbar auch gelöscht (siehe log 18-39-19)

avenger war nichtmehr nötig weil die files weg sind.

danach hab ich nochmal mit anti-maleware gescannt und das programm hat keine files gefunden (siehe log 19-56-59)

dann noch hijackthis: (siehe log hijackthis)


Nochmal vielen danke für die Hilfe! Meint ihr, dass das system so jetz wieder ok ist, oder brodelt da noch irgendwas im hintergrund?

Das mit den dll ist ganz einfach
Da diese im Autostart sind, aber nun gelöscht wurden, sucht er sie vergeben
Fixe diese Einträge mit Hijackthis:

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qip.ru
O2 - BHO: (no name) - {61CEF9A1-4085-45E0-ABE5-A00EDE0C080B} - C:\WINXP\system32\nnnlmLeb.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: mlJBSiFu - mlJBSiFu.dll (file missing)

Nun sollten die Meldungen nicht mehr kommen

Bitte lade noch diese Dateien bei VirusTotal hoch:

Zitat:

C:\Programme\Deutsche Telekom\Teledat 220 PCI\isdnsta.exe
C:\Programme\Deutsche Telekom\Teledat 220 PCI\rvscn.exe