Wie entferne ich Mljgd.dll Virtu.Monde Trojan eingefangen

#16 Danke Pinguin für deinen Beitrag!

Hier:

Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 802D-1669

Verzeichnis von C:\WINDOWS\system32

28.12.2007 10:53 2'206 wpa.dbl
26.12.2007 16:52 22'698 RootkitReveal.txt
26.12.2007 16:15 405'686 perfh007.dat
26.12.2007 16:15 70'982 perfc007.dat
26.12.2007 16:15 392'630 perfh009.dat
26.12.2007 16:15 58'930 perfc009.dat
26.12.2007 16:15 938'224 PerfStringBackup.INI
26.12.2007 12:01 131'072 datestamp.dll
22.12.2007 18:17 143 mcrh.tmp
22.12.2007 17:51 131'072 igfxpers .exe
22.12.2007 17:51 135'168 igfxtray .exe
21.12.2007 00:28 188 MsiExec.exe.log
20.12.2007 01:09 56'976 GenSvcInst.exe
20.12.2007 01:09 122'512 bgsvcgen.exe
18.12.2007 21:08 81'984 bdod.bin
18.12.2007 20:58 0 bdss.log
18.12.2007 20:10 26'408 Config.MPF
18.12.2007 19:59 306'432 TuneUpDefragService.exe
13.12.2007 21:26 156'160 swreg.exe
12.12.2007 18:45 387'188 TZLog.log
11.12.2007 23:34 200'704 ssldivx.dll
11.12.2007 23:34 1'044'480 libdivx.dll
11.12.2007 10:57 49'152 QuickTime.qts
11.12.2007 10:57 65'536 QuickTimeVR.qtx
10.12.2007 19:21 472 results.txt
04.12.2007 01:00 136'704 swsc.exe
03.12.2007 00:00 18'684'536 MRT.exe
13.11.2007 12:31 60'416 tzchange.exe
02.11.2007 08:31 1'488'688 LegitCheckControl.dll
31.10.2007 00:19 3'590'656 mshtml.dll
29.10.2007 23:42 1'293'312 quartz.dll
29.10.2007 16:07 373'760 xpsp3res.dll
25.10.2007 17:42 8'501'248 shell32.dll
25.10.2007 09:28 222'720 wmasf.dll
11.10.2007 21:31 1'584'832 FNTCACHE.DAT
11.10.2007 00:46 232'960 webcheck.dll
11.10.2007 00:46 1'159'680 urlmon.dll
11.10.2007 00:46 824'832 wininet.dll
11.10.2007 00:46 102'400 occache.dll
11.10.2007 00:46 105'984 url.dll
11.10.2007 00:46 671'232 mstime.dll
11.10.2007 00:46 193'024 msrating.dll
11.10.2007 00:46 478'208 mshtmled.dll
11.10.2007 00:46 6'065'664 ieframe.dll
11.10.2007 00:46 52'224 msfeedsbs.dll
11.10.2007 00:46 27'648 jsproxy.dll
11.10.2007 00:46 44'544 iernonce.dll
11.10.2007 00:46 267'776 iertutil.dll
11.10.2007 00:46 459'264 msfeeds.dll
11.10.2007 00:46 1'831'424 inetcpl.cpl
11.10.2007 00:46 63'488 icardie.dll
11.10.2007 00:46 230'400 ieaksie.dll
11.10.2007 00:46 124'928 advpack.dll
11.10.2007 00:46 132'608 extmgr.dll
11.10.2007 00:46 214'528 dxtrans.dll
11.10.2007 00:46 384'512 iedkcs32.dll
11.10.2007 00:46 153'088 ieakeng.dll
11.10.2007 00:46 383'488 ieapfltr.dll
10.10.2007 11:59 13'824 ieudinit.exe
10.10.2007 11:59 70'656 ie4uinit.exe
10.10.2007 07:17 0 asfiles.txt
10.10.2007 07:13 2'550 Uninstall.ico
10.10.2007 07:13 1'406 Help.ico
10.10.2007 06:46 161'792 ieakui.dll
10.10.2007 06:01 847'758 iklog.log
09.10.2007 21:38 34'308 BASSMOD.dll
08.10.2007 14:46 14'640 spmsg.dll
20.09.2007 09:55 95'600 NeroCo.dll
04.09.2007 11:59 29'704 uxtuneup.dll
29.08.2007 06:22 5'214 jupdate-1.6.0_02-b06.log
28.08.2007 13:10 69'672 avsda.dll
21.08.2007 07:16 683'520 inetcomm.dll
11.08.2007 15:16 1'919 AUTOEXEC.NT

Ich hatte seit 2 Tagen keine Meldungen von Antivir und Virtumond erhalten.

#17 Hi Lexington

eine Virendatei sehe ich noch... könntest du bitte ALLES von datfindbat hier posten ?(nicht nur C:\WINDOWS\system32 ) - Eventuell als Anhang, falls der Platz nicht reicht.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#18 Hallo

Hier die weiteren Daten....


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 802D-1669

Verzeichnis von C:\DOKUME~1\VM\LOKALE~1\Temp

28.12.2007 20:02 115'501 datfind.txt
18.03.1998 11:19 8'021 ReadMe.txt
30.12.1997 15:11 837'632 RegClean.exe
08.04.1997 09:27 490'096 oadist.exe
4 Datei(en) 1'451'250 Bytes
0 Verzeichnis(se), 60'273'479'680 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 802D-1669

Verzeichnis von C:\WINDOWS

28.12.2007 19:35 1'539'345 WindowsUpdate.log
28.12.2007 19:35 81'952 setupapi.log
28.12.2007 19:35 54'156 QTFont.qfn
28.12.2007 19:34 0 0.log
28.12.2007 19:34 2'048 bootstat.dat
28.12.2007 19:32 32'580 SchedLgU.Txt
28.12.2007 16:12 1'596 wmsetup.log
28.12.2007 14:31 9'930 WgaNotify.log
28.12.2007 10:49 8'821 KB892130.log
28.12.2007 10:49 0 setupact.log
27.12.2007 21:39 87'930 ntbtlog.txt
27.12.2007 13:56 1'409 QTFont.for
26.12.2007 23:41 1'276 mozver.dat
26.12.2007 16:53 22'698 RootkitReveal.txt
26.12.2007 10:30 486 system.ini
20.12.2007 01:44 182 NeroDigital.ini
18.12.2007 21:41 654 WinAVI Video Converter 9.0 Uninstall Log.txt
18.12.2007 21:40 23'849 WinAVI Video Converter 9.0 Setup Log.txt
18.12.2007 21:09 789 win.ini
14.12.2007 01:28 216 wiadebug.log
12.12.2007 23:48 32 go
19.11.2007 17:24 6'768 mgxoschk.ini
17.11.2007 23:20 0 setuperr.log
01.11.2007 17:44 42 IniFile1.ini
01.11.2007 16:17 356'352 eSellerateEngine.dll
10.10.2007 07:13 32 pavsig.txt
07.10.2007 20:55 376 ODBC.INI
20.09.2007 09:59 972'072 UNRecode.exe
20.09.2007 09:55 972'072 UNNeroMediaHome.exe
22.08.2007 21:30 10'640 AegisP.cat
22.08.2007 21:30 13'864 AegisP.inf
22.08.2007 21:30 21'393 AegisP.sys
11.08.2007 09:47 0 OrangeBurn.log

Verzeichnis von C:\WINDOWS\Downloaded Program Files

16.09.2007 15:38 123'764 daas.log
07.05.2007 15:39 254'360 fscax.dll
07.05.2007 15:39 192'920 fsauc.dll
07.05.2007 15:38 500'120 daas_s.dll

#19 Hallo Lexington

suche ueber die Suchfunktion von Windows:
C:\WINDOWS\system32\mcrh.tmp
und loesche die tmp-Datei.
---
wenn das erledigt ist,mache einen Scan mit Dr.Web (alles in Quarantaene, nichts loeschen lassen, sicherheitshalber) und poste den Report
http://www.virus-protect.org/cureit.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#20 Hallo

Ok, ich habe die Datei gelöscht.

Ich hab Dr. Web erstmals in der abgespäckten Version laufen lassen und hat nichts gefunden.Jetzt bei der intensiv-Suche (dauert sehr lang) hat er mir die Datei RouterRecorder.exe angezeigt. Die Datei stammt sehr wahrscheinlich von Cryptload.

Ich hab den Scan nicht komplett durchlaufen lassen, geht sehr lange...aber wenn sein muss.

Danke

Ich denke aber dass mein System nicht 100% Virenfrei ist.

Es können sich noch X-Malware und Trojaner integriert haben.

#21 Wenn noch Anwesend,entferne auf
C:\VundoFix Backups
C:\avenger\backup.zip
C:\Qoobox

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK
__________
MfG Argus

#22 ok,die Ordner waren noch da mit Inhalt zum Teil...aber habe sie jetzt entfernt.

Aber ich frage mich wie die Viren und Malware entfernt wurden? Habe mals antivir durchlaufen lassen...und das wars?

#23 Hallo,
ich denke, dass nun alles wieder virenfrei ist...
deaktiviere noch die Systemwiederherstellung, dann wieder aktivieren.
http://www.virus-protect.org/systemwiederherstellung.html

wenn du Zeit hast, kannst du noch mit diversen Onlinscannern checken...
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#24 Hallo Pinguin

Besten Dank für deinen Einsatz!

Ich werde noch ein paar onlinescans machen und Systemwiederherstellung.

Danke nochmals

PS: Frage mich aber immer noch wie ich die Viren losgeworden bin! Antivir hat einiges gefunden und auch gelöscht, aber es gab auch files die nicht gelöscht werden konnten.

#25 Hi Lexington,

Antivirus hat alles in Quarantaene genommen - dennoch, graben wir weiter....

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Downloads" >>files.txt
dir "C:\Programme\Mozilla Firefox" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

2.
wende sdfix an (im abgesicherten modus) und poste den report
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#26 Hier das Ergebnis vom bat-file:

Verzeichnis von C:\Programme\Mozilla Firefox

30.12.2007 17:42 <DIR> .
30.12.2007 17:42 <DIR> ..
26.12.2007 23:41 0 .autoreg
13.12.2007 00:23 13'952 AccessibleMarshal.dll
13.12.2007 00:23 222 browserconfig.properties
13.12.2007 00:23 <DIR> chrome
27.12.2007 13:48 <DIR> components
04.06.2007 22:27 <DIR> defaults
30.12.2007 17:42 <DIR> extensions
13.12.2007 00:23 7'650'416 firefox.exe
13.12.2007 00:23 476 freebl3.chk
13.12.2007 00:23 200'829 freebl3.dll
13.12.2007 00:23 <DIR> greprefs
26.12.2007 23:41 40'441 install.log
13.12.2007 00:23 456'296 js3250.dll
13.12.2007 00:23 30'869 LICENSE
13.12.2007 00:23 161'392 nspr4.dll
13.12.2007 00:23 378'472 nss3.dll
13.12.2007 00:23 271'984 nssckbi.dll
13.12.2007 00:23 107 old-homepage-default.properties
23.02.2007 22:21 30 override.ini
13.12.2007 00:23 34'424 plc4.dll
13.12.2007 00:23 30'320 plds4.dll
29.12.2007 09:21 <DIR> plugins
13.12.2007 00:23 229 README.txt
13.12.2007 00:23 13'058 removed-files
13.12.2007 00:23 <DIR> res
13.12.2007 00:23 <DIR> searchplugins
13.12.2007 00:23 112'232 smime3.dll
13.12.2007 00:23 476 softokn3.chk
13.12.2007 00:23 254'060 softokn3.dll
13.12.2007 00:23 132'712 ssl3.dll
13.12.2007 00:24 <DIR> uninstall
13.12.2007 00:23 132'232 updater.exe
13.12.2007 00:23 717 updater.ini
21.09.2007 06:18 1'440'046 wrar371d.exe
13.12.2007 00:23 13'416 xpcom.dll
13.12.2007 00:23 73'848 xpcom_compat.dll
13.12.2007 00:23 422'000 xpcom_core.dll
13.12.2007 00:23 73'336 xpicleanup.exe
13.12.2007 00:23 12'400 xpistub.dll
30 Datei(en) 11'950'992 Bytes
11 Verzeichnis(se), 68'804'206'592 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 802D-1669

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.03.2007 11:16 449 acpir.inf
26.03.2007 13:34 145'008 acpir2.dll
07.12.2004 15:07 32 bdcore.dll
01.03.2005 13:08 118'784 bdupd.dll
28.03.2007 09:06 541 ca.pub
16.09.2007 15:38 123'764 daas.log
07.05.2007 15:38 500'120 daas_s.dll
29.06.2006 17:11 11'712 egathdrv.sys
29.06.2006 17:11 5'759 egathvxd.vxd
23.03.2007 12:17 1'292 erma.inf
07.05.2007 15:39 192'920 fsauc.dll
07.05.2007 15:39 254'360 fscax.dll
13.04.2007 14:52 482 fscax.inf
29.06.2006 17:22 180'224 IbmEgath.dll
29.06.2006 17:13 445 IbmEgath.inf
01.03.2005 13:08 53'248 ipsupd.dll
09.03.2005 14:42 6'742 lang.ini
07.12.2004 15:07 32 libfn.dll
18.02.2005 15:22 126 live.ini
18.12.2006 10:02 882 mcfscan.inf
01.06.2006 01:57 1'331 oscan8.inf
01.06.2006 01:54 471'040 oscan8.ocx
31.05.2006 03:15 10 oscan81.ocx_x
27.04.2007 06:33 144 QTPlugin.inf
09.03.2005 14:43 6'828 scanoptions.tsi
26.05.2005 04:19 291 wuweb.inf
26 Datei(en) 2'076'566 Bytes
0 Verzeichnis(se), 68'804'136'960 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 802D-1669

Verzeichnis von C:\Program Files

25.12.2007 21:58 <DIR> .
25.12.2007 21:58 <DIR> ..
21.12.2007 02:16 <DIR> AviSynth 2.5
27.06.2007 17:51 <DIR> BitTorrent
09.10.2007 21:19 <DIR> Common Files
24.12.2007 08:44 <DIR> FBM Software
20.12.2007 22:18 <DIR> Kaspersky Lab
0 Datei(en) 0 Bytes
7 Verzeichnis(se), 68'804'071'424 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 802D-1669

Verzeichnis von C:\Dokumente und Einstellungen\VM\Lokale Einstellungen\Temporary Internet Files\Content.IE5

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 802D-1669

Verzeichnis von C:\Dokumente und Einstellungen\VM\Lokale Einstellungen\Temp

30.12.2007 18:20 <DIR> .
30.12.2007 18:20 <DIR> ..
30.12.2007 13:48 136 adb4A.tmp
30.12.2007 13:51 136 adb75.tmp
30.12.2007 14:09 <DIR> BTN%Copy%1
30.12.2007 16:35 <DIR> hsperfdata_VM
30.12.2007 17:33 <DIR> plugtmp
30.12.2007 13:45 40'101 {DDC5DEF2-4106-4191-B865-F477C5693056}estk_install_pkg.ico
30.12.2007 13:45 93'314 {DDC5DEF2-4106-4191-B865-F477C5693056}estk_ribs_bgd.png
4 Datei(en) 133'687 Bytes
5 Verzeichnis(se), 68'803'940'352 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 802D-1669

Verzeichnis von C:\WINDOWS\Temp

30.12.2007 18:17 <DIR> .
30.12.2007 18:17 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 68'803'809'280 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 802D-1669

Verzeichnis von C:\Temp

20.12.2007 00:11 <DIR> .
20.12.2007 00:11 <DIR> ..
13.11.2007 07:31 10'806 pqdvd.elog
20.12.2007 00:07 5'002 verify.log
2 Datei(en) 15'808 Bytes
2 Verzeichnis(se), 68'803'416'064 Bytes frei

Der Rest von sdfix folgt....

Hatte noch von Avira eine Meldung hier:

Die Datei 'C:\System Volume Information\_restore{5F47BEF1-1E6B-4815-B428-5D8573A8336D}\RP35\A0009831.exe'
enthielt einen Virus oder unerwünschtes Programm 'SPR/RAS.A' [riskware].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Insgesamt sind 3 Viren gefunden worde....Sie unterscheiden sich eigentlich nur im Namen AXXXXXXX.
Hab sie alle umgehend gelöscht.

Hab gerade gelesen dass die Viren die ich noch habe, etwas mit der Systemwiederherstellung zu tun haben.

Kann mir jemand das kurz erklären.

Danke

#27 Hallo,

es reicht, dass du die Systemwiederherstellung deaktivierst (dann wieder aktivieren)
http://www.virus-protect.org/systemwiederherstellung.html

die keygen.exe im C:\Programme\Mozilla Firefox\ ist nicht mehr sichtbar - hast du sie geloescht ?

die tmp musst du loeschen:
C:\Dokumente und Einstellungen\VM\Lokale Einstellungen\Temp\adb4A.tmp
C:\Dokumente und Einstellungen\VM\Lokale Einstellungen\Temp\adb75.tmp

Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#28 Hallo Pinguin

Nein,die datei Keygen.exe habe ich nicht gelöscht!Hab moment Avira antivir drauf. Das Programm kann die Datei gelöscht haben ,aber ich nicht.

Ok, also,ich hab die Systemwiederherstellung deaktiviert und dann im abgesichterten Modus Avira laufen lassen und hat nicht gefunden. Jetzt aktiviere ich die Systemwiederherstellung wieder.

Danke

Werde jetzt wieder einen durchlauf machen.

#29 im Grunde sollte wieder alles o.k. sein - vermeide gewisse Seiten, vor allem welche, wo keygen.exe lauern.....
Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#30 Hallo Pinguin

Ja, Danke vielmals für deinen Support!

Falls noch etwas auftauchen würde, werde ich es hier wieder berichten.

Herzlichen Dank nochmals

Guten rutsch ins neue Jahr
-----------------------------------------------------------------------
Hallo Pinguin

Kurz nochmal...

Bin ich eigentlich mit dem Antivir ausreichend geschützt?Ich hab mir jetzt die Premium Edition gekauft, hat noch ein paar zusätzlich Features gegenüber der Freeedition!Finde Antivir eigentlich recht gut, muss ich sagen.

Wie siehts mit einer Firewall aus? Brauch ich eine?

Danke