lsass.exe und vb gd 19 virus entdeckt
 

Ola

Ich hab seit ner woche wilde probleme mit meinem rechner
vor ner woche hat antivir die lsass.exe als befallen empfunden, und gelöscht
4 tage später hat ein wurm "vb gd 19" oder ähnlich in der system volume information eine datei befallen und wurde gelöscht seit her lahmt das gerät tierichst hab windows in 2 versionen jetzte 3 x neu installiert ohne formatierung und im nochmalfall läufts, des öfteren lahmt es etwas und beim datteln ist endzeit. sobald directx und graphik abfährt dauerts noch ne halbe minute bis zum total error und neustart.
hab neues windows neuer grafiktreiber neues directx drüber nothing help

hier noch die HJt logs

Logfile of HijackThis v1.99.1
Scan saved at 19:53:27, on 12.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Winamp\winampa.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\system32\mmc.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\wpabaln.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Winamp\winamp.exe
D:\WINDOWS\system32\taskmgr.exe
D:\DOKUME~1\******\LOKALE~1\Temp\Temporäres Verzeichnis 1 für TcpView.zip\Tcpview.exe
D:\DOKUME~1\******\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe



und noch die logs aus tcpview


alg.exe:1492 TCP space:1028 space:0 LISTENING
explorer.exe:1708 TCP space:1112 crl.microsoft.com:http ESTABLISHED
IEXPLORE.EXE:1396 TCP space:1111 downloads.sysinternals.com:http ESTABLISHED
IEXPLORE.EXE:1396 TCP space:1110 jc-in-f99.google.com:http ESTABLISHED
IEXPLORE.EXE:1396 UDP space:1032 *:*
lsass.exe:744 UDP space:isakmp *:*
lsass.exe:744 UDP space:4500 *:*
svchost.exe:1012 TCP space:epmap space:0 LISTENING
svchost.exe:1108 UDP space:ntp *:*
svchost.exe:1108 UDP space:ntp *:*
svchost.exe:1160 UDP space:1033 *:*
svchost.exe:1216 UDP space:1900 *:*
svchost.exe:1216 UDP space:1900 *:*
System:4 TCP space:microsoft-ds space:0 LISTENING
System:4 TCP space:netbios-ssn space:0 LISTENING
System:4 UDP space:netbios-ns *:*
System:4 UDP space:netbios-dgm *:*
System:4 UDP space:microsoft-ds *:*
winamp.exe:1152 TCP space:1044 ffm.p26-gbit-s2.global-streaming.net:11900 ESTABLISHED
winamp.exe:1152 UDP space:1036 *:*


für hilfreichen rat sehr dankbar.
hab 500gig daten die ich ungern plattmachen würde und zum backupen mir die 2.platte fehlt.
Beist sich sonen ding im Grafikspeicher fest?

Morgen und :) Herzlich Willkommen im Trojaner-Board :)

ich kenne nur 2 Schädlinge, denen dieser Eintrag gehört.
Beide erfordern ein NeuAufsetzen des Systems. Aber
vielleicht hast du ja Glück, schau wir doch nach:

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. lade die Seite von Virustotal (alternativ Jotti)
7. lade in der dafür vorgesehen Box folgende Datei(en) hoch
8. Warte die Auswertung ab
9. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

mfg Cleriker

Halt...Falschaussage -> Montagmorgen halt :Boogie:
Das ist doch bloß der Update-Manager. Warum kann
ich den Beitrag nicht editieren:confused:

ich kann natürlich keine Malware entdecken,
führe bitte folgende
Scans durch:

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)


mfg Cleriker