Hallo ihr Lieben,

ich brauche mal eure Hilfe. Habe mir den Torjaner TR/Vundo.Gen eingefangen. Allerdings äußert sich der bei mir irgendwie anders als bei anderen.

1. Ungefähr zur selben Zeit wie ich die erste Warnmeldung von Avira bekommen hab, hat sich auch Spybot regelmäßig gemeldet wegen einer Änderung in winlogon.exe. Also wäre meine erste Frage, ob das zusammenhängt? Hab das leider einmal zugelassen weils mich so genervt hat. Hab mich aber schon etwas informiert und gelesen, wenn winlogon im system32 ordner ist, ist es kein virus (ebenso in ServicePackFiles\i386, wo es laut google auch nicht schadet). Hab das überprüft und bei mir ist winlogon.exe nur in diesen beiden ordnern.

2. Mein Avira findet den Trojaner nicht bei einem Suchdurchlauf mit filewalker. ich bekomme aber alle 5 min von Avira eine Warnmeldung wenn ich online bin, und der Trojaner ist immer in Lokale Einstellungen/Temp. Den Ordner hab ich jetzt mal komplett säubern wollen, aber 2 Dateien lassen sich nicht löschen:
~DF189E.tmp und 7C6.tmp, die laut google Viren sind. Und die Trojaner, die mir fünfminütig angezeigt werden sind immer wieder neue .tmp-Dateien, die vorher nicht in dem Ordner waren und heißen dann /Temp/A33.tmp oder sonstiges. Sobald ich den lösche kommt wieder der nächste, dann eben A34.tmp usw.

Bin echt überfragt jetzt, kann mir jmd helfen? abgesehen von dem, was ich bin jetzt unternommen hab, kenn ich mich gar nicht aus. ihr müsstet also genauer erklären, wie ich was machen soll :-(

VIELEN DANK!!!

So, mein Malwarebytes ist jetzt mittlerweile auch durch und hat anscheinend tatsächlich dieses 7C6.tmp ausgemerzt. Aber dieses Vundo-Teil ist damit ja nicht weg oder? Ach so, noch eine Info: mit Vundofix hab ich auch schon den Laptop scannen lassen, der hat auch nix gefunden.

Hier mal der Scan-Bericht von Malwarebytes:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3179
Windows 5.1.2600 Service Pack 3

16.11.2009 20:18:28
mbam-log-2009-11-16 (20-18-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 178178
Laufzeit: 3 hour(s), 7 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Temp\7C6.tmp (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TDSSserv.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe rundll32.exe ynbf.bno ujghdrg) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Temp\7C6.tmp (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\ynbf.bno (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Client.exe (Trojan.MultiDropper) -> Quarantined and deleted successfully.