guten Abend

ich hab seit heute eine Fehlermeldung von AntiVir Guard,

dass ich das Trojanische Pferd TR/Monderb.smp habe ....

Es wird mir in 2 Dateien angezeigt

1x in C:\Users\Name\AppData\Local\Temp

und

1x in C:\Windows\SysWOW64

Kann das nicht löschen/zugriff verweigern/in quarantäne schieben, naja

Habe Windows Vista und bin ne totale Nulpe was PCs angeht, also echt bedürftig

Ich sag einfach schonmal im Vorraus

lg

Hab ein wenig geschmökert und von HijackThis gelesen und dank eures Topics das auch mal gemacht, hoffe das stimmt soweit.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:00:01, on 08.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Analog Devices\SoundMAX\SoundTray.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files (x86)\Winamp\winampa.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files (x86)\Razer\Diamondback 3G\razerhid.exe
C:\Program Files (x86)\Razer\Diamondback 3G\razertra.exe
C:\Program Files (x86)\Razer\Diamondback 3G\razerofa.exe
C:\Program Files (x86)\World of Warcraft\World of Warcraft\BackgroundDownloader.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Winamp\winamp.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SoundTray] "C:\Program Files (x86)\Analog Devices\SoundMAX\SoundTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Diamondback] "C:\Program Files (x86)\Razer\Diamondback 3G\razerhid.exe"
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\nNEwvVMf.dll,#1
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\David\AppData\Local\Temp\ddcBSKdb.dll,#1
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Marvell RAID Event Agent (Marvell RAID) - Unknown owner - C:\Program Files (x86)\Marvell\61xx\svc\mvraidsvc.exe
O23 - Service: MRU Web Service (MRUWebService) - Apache Software Foundation - C:\Program Files (x86)\Marvell\61xx\Apache2\bin\Apache.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7050 bytes

Hi,

bei 64-bit systemen ist es derzeit etwas schwierig Programme zu finden die funktionieren.

Erstell bitte ein Log mit Malwarebytes und poste es hier (erstmal nichts löschen, bitte).

lg myrtille

bei Scna-Ergebnisse soll ich nichts löschen ?

okay

mom

ed: wenn ich die nicht lösche kann ich den report nicht anklicken

ed2: mmh wo find ich den logfile ? *such*

ed3: habs ^^



Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1242
Windows 6.0.6001 Service Pack 1

08.10.2008 18:20:55
mbam-log-2008-10-08 (18-20-51).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 152156
Laufzeit: 27 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 22

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{e66f2638-720e-4db7-8224-7ed8942a5594} (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{e66f2638-720e-4db7-8224-7ed8942a5594} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\\windows\\system32\\yayxyold -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\SysWOW64\nNEwvVMf.dll (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AK7BXDUF\cntr[1] (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AK7BXDUF\cntr[2] (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B3S71XOB\cntr[3] (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B3S71XOB\cntr[4] (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B3S71XOB\cntr[5] (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Temp\geBsrQkK.dll (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Temp\khFxvwXR.dll (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Temp\mlJDtusp.dll (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Temp\nnnoMEtU.dll (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Temp\pmnljGyX.dll (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Temp\pmnnMGxU.dll (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Temp\rQhfDtTm.dll (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Temp\ssqRHYqp.dll (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Temp\vtUolIcD.dll (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Temp\vtusRHxx.dll (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Temp\wvUlllKB.dll (Trojan.Vundo) -> No action taken.
C:\Users\David\AppData\Local\Temp\xxYpnnNh.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\nNEwvVMf.dll (Trojan.Agent) -> No action taken.
C:\Users\David\AppData\Local\Temp\ddcBSKdb.dll (Trojan.Agent) -> No action taken.
C:\Windows\System32\tuVlligH.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\yayxYoLd.dll (Trojan.Vundo) -> No action taken.

Hi,

das sieht soweit ganz gut aus.

Lass bitte alles löschen, poste das Log dann nochmal hier.

lg myrtille

mmmmh also das letzte was ich gesehn hab war, dass alle Dateien gelöscht waren, den Log dazu seh ich nicht und hab auch nur noch den einen alten bisher gefunden....

aber scheint bisher alles gut zu sein

Ich such den Log trotzdem mal weiter