Verdacht auf Backdoor Virus.

Veilside · 31.07.2009, 17:08

Hallo (:
Ich hab letztens von Antivir eine Meldung bekommen hier mal die Log.

"In der Datei 'C:\Ventrilo.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Poison.CPD' [backdoor] gefunden.
Ausgeführte Aktion: Datei löschen"

gut dacht ich mir datei gelöscht problem gelöst

aber nein ich bekam heute eine erneute Meldung von Antivir.

"In der Datei 'C:\WINDOWS\system32\clacu.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Poison.CPD' [backdoor] gefunden.
Ausgeführte Aktion: Datei löschen"

Nun hab ich den verdacht das sich ein Backdoor Virus auf meinem PC rumtreibt besonders weil einige programme zb. "Steam" einfach das Spiel Counterstrike Source gelöscht hat so das ich neu installieren musste.

Mozilla Firefox schließt sich einfach mal oder wechselt die Seite Oo.

Das Spiel Race Driver GRID verlor den Sound aller Wagen und Online spielen ging auch nicht mehr.. (neu installation).

Nun ja ich hab hier mal gelesen und mal HijackThis durchlaufen lassen kann aber nix mit der .log anfangen ihr kennt euch bestimmt besser damit aus ;D

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:29, on 31.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\VistaDriveIcon\DrvIcon.exe
C:\Programme\Razer\DeathAdder\razerhid.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\SweetIM\Messenger\SweetIM.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Razer\DeathAdder\razertra.exe
C:\Programme\Razer\DeathAdder\razerofa.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.16\AsRunHelp.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe
O4 - HKLM\..\Run: [DeathAdder] C:\Programme\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [Launch LgDevAgt] "C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [PAC207_Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0235A8FB-B635-459B-8D19-BAD53BDA555D}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{0235A8FB-B635-459B-8D19-BAD53BDA555D}: NameServer = 195.50.140.178 195.50.140.114
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9f4163457f12a) (gupdate1c9f4163457f12a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - D:\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - D:\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8869 bytes

Vielen dank schonmal im vorraus.

john.doe · 31.07.2009, 17:18

Hallo und

Klicke bei deinem Beitrag auf Editieren und lösche alle Zeilen die mit R0, R1 und O16 beginnen.

Anschließend klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

Veilside · 31.07.2009, 23:26

Konnte mein beitrag irgendwie nicht editieren naja hab alles entfernt werd jetzt mal die Liste abarbeiten.

Hier schonmal der HijackThis Log ohne R0, R1 und O16 Einträge.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:29, on 31.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Google\Update\1.2.183.7\GoogleCrashHa ndler.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\VistaDriveIcon\DrvIcon.exe
C:\Programme\Razer\DeathAdder\razerhid.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\SweetIM\Messenger\SweetIM.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Razer\DeathAdder\razertra.exe
C:\Programme\Razer\DeathAdder\razerofa.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926. 3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.16\AsRunHelp.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe
O4 - HKLM\..\Run: [DeathAdder] C:\Programme\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [Launch LgDevAgt] "C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [PAC207_Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0235A8FB-B635-459B-8D19-BAD53BDA555D}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{0235A8FB-B635-459B-8D19-BAD53BDA555D}: NameServer = 195.50.140.178 195.50.140.114
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9f4163457f12a) (gupdate1c9f4163457f12a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - D:\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - D:\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8869 bytes

john.doe · 31.07.2009, 23:38

Mit HJT arbeiten wir seit einiger Zeit nicht mehr. Wir brauchen das Log von Malwarebytes und beide Logs von RSIT. Du findest die Anleitungen, wenn du auf "Für alle Neuen" in meiner Signatur klickst.

ciao, andreas

Veilside · 01.08.2009, 03:34

So hab jetzt einen Antivir Scan durchgeführt bei dem 21 Viren gefunden worden die wurden in Quarantäne verschoben und daraufhin gelöscht.

Hier die Antivirlog: File-Upload.net - AVSCAN-20090731-193739-87AEC1E6.LOG

Danach hab ich den CCleaner so oft durchlaufen lassen bis keine Fehler mehr vorhanden waren. (Normal als auch Registry)

Veilside · 01.08.2009, 03:35

So nun zu Malwarebytes Anti-Malware, ich habe 3 durchlaufe gemacht.

Der Erste war ein "Komplett Scan" den musst ich aber nach dem Hauptdatenträger (C) abbrechen da ich weg musste.

Hier die Log bei der 2 Infizierte Objekte gefunden (gelöscht) wurden:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 3

31.07.2009 22:26:49
mbam-log-2009-07-31 (22-26-49).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 86230
Laufzeit: 1 hour(s), 37 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\CSB\Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

___________________________________________________________
Später als ich wieder Zuhause war führte ich einen 2ten Komplett Scan durch, der lief auch wirklich Komplett durch ;D

Es wurden die Datenträger (C) (D) (E) (F) und der Externe Datenträger (H) gescannt.

Hier die Log bei der wieder 2 Infizierte Objekte gefunden (und nach einem Neustart daher noch nicht in der Log, gelöscht) wurden:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 3

01.08.2009 03:59:16
mbam-log-2009-08-01 (03-59-09).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 262635
Laufzeit: 57 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
f:\ZIP\windows_updates\windoof\win xp-2003 activation-genuine advantage crack-keygen\Crypt.dll (Hacktool) -> No action taken.
c:\WINDOWS\system32\winlogon.Del (Heuristics.Reserved.Word.Exploit) -> No action taken.
________________________________________________________________
Zur sicherheit führte ich noch einen Schnell Scan durch bei dem nix gefunden wurde, hier die Log:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 3

01.08.2009 04:07:08
mbam-log-2009-08-01 (04-07-08).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 79876
Laufzeit: 3 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Veilside · 01.08.2009, 03:38

Zum schluss die RSIT .txt Dateien

hier die log.txt: File-Upload.net - log.txt

und die info.txt: File-Upload.net - info.txt

hoffe ihr könnt mir helfen und mir sagen ob der Virus weg ist,
danke schonmal im vorraus

john.doe · 01.08.2009, 13:21

Als ich diese Zeile las, lief mir ein Schauer über den Rücken.

Zitat:

wurde ein Virus oder unerwünschtes Programm 'BDS/Poison.CPD' [backdoor] gefunden.

Die Bezeichnungen der AVP-Hersteller sind häufig völlig nichtssagend. Dieser hier ist eindeutig => Poison Ivy => Remote Administration Tool ? Wikipedia

Die fliegen nicht einfach auf den Rechner, die fängt man sich auch nicht ein, die muss man aktiv downloaden und starten, damit sie laufen.

Und wieder einer für die Liste, die wird immer länger.

Zitat:

C:\Dokumente und Einstellungen\AlexN\Eigene Dateien\ICQ\367520134\ReceivedFiles\280231929 marvin\MSN.rar
[0] Archivtyp: RAR
--> MSN\msn.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
C:\Dokumente und Einstellungen\AlexN\Eigene Dateien\ICQ\367520134\ReceivedFiles\396449151 seb\SWB_E_6.rar
[0] Archivtyp: RAR
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Drop.VB.igz

Es kommt ja noch besser:

Zitat:

c:\CSB\Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
f:\ZIP\windows_updates\windoof\win xp-2003 activation-genuine advantage crack-keygen\Crypt.dll
C:\Dokumente und Einstellungen\AlexN\Lokale Einstellungen\Temp\371085.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Poison.CPD
C:\System Volume Information\_restore{50D92BE8-0B41-44DB-841E-AB21C885B3D7}\RP144\A0082603.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Poison.CPD
D:\RECYCLER\NPROTECT\00042716.ZIP
[0] Archivtyp: ZIP
--> ningpo.mahjong.deluxe.1.04.keygen-tsrh.exe
[FUND] Ist das Trojanische Pferd TR/PWS.38747(PWS => Passwordstealer)
F:\ZIP\paradoxCinema4D.Studio.10.111.rar
[0] Archivtyp: RAR
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.200704.B
F:\ZIP\Alcohol120\Alcohol 120 v1.9.5.3105.rar
[0] Archivtyp: RAR
--> Alcohol 120 v1.9.5.3105\Patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.69632.O
F:\ZIP\BitDefender Total Security 2008 Build 11.0.9\Keymaker.exe
[FUND] Ist das Trojanische Pferd TR/Agent.134192.A

Jaja, Total Security?
F:\ZIP\CODECS & RIPsoft\MediaChance.DVDLab.Pro.v1.53.Bundle2.FFF-DVT.by.TEAM-INVISIBLE.rar
[0] Archivtyp: RAR
--> MediaChance.DVDLab.Pro.v1.53.Bundle2.FFF-DVT.by.TEAM-INVISIBLE\CopyToDVD 3.0.56\CRACK\Crack.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
--> MediaChance.DVDLab.Pro.v1.53.Bundle2.FFF-DVT.by.TEAM-INVISIBLE\MediaChance.DVDLab.Pro.v1.53\CRACK\PATCH.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.2091512
F:\ZIP\CrackZ\CRACK.CD-Futuremark_3DMark_2003.zip
[0] Archivtyp: ZIP
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
F:\ZIP\CrackZ\Direct_Update_v3.6.3_build_537.zip
[0] Archivtyp: ZIP
--> direct.update.3.6.3.build.537.crk.exe
F:\ZIP\CrackZ\jasc paintshop 8 crack.ace
[0] Archivtyp: ACE
--> Paintshop 8\Crack 1.exe
[FUND] Ist das Trojanische Pferd TR/PSW.OnlineGames.asav.3
F:\ZIP\CrackZ\rp_LeechGet_2003_v1_0.zip
[0] Archivtyp: ZIP
--> rp_LeechGet_2003_v1_0/LeechGet_loader.exe
[FUND] Ist das Trojanische Pferd TR/Agent.24770.A
F:\ZIP\NERO\NERO7_Premium_Key.rar
[0] Archivtyp: RAR
--> nero7_keygen.rar
[1] Archivtyp: RAR
--> Keygen.exe
F:\ZIP\UNIBLUE\Uniblue Driver Scanner_2.zip
[0] Archivtyp: ZIP
--> Driver Scanner 2/Patch 2.0.0.20/patch.exe
[FUND] Ist das Trojanische Pferd TR/AdbPat.D
F:\ZIP\UNIBLUE\Uniblue SpeedUpMy_PC_2009_V_4.rar
[0] Archivtyp: RAR
--> SpeedUpMy PC 2009 V 4\crack\Keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.abc
F:\ZIP\UNIBLUE\SpeedUpMy PC 2009 V 4\crack\Keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent2.abc
F:\ZIP\Windows_Updates\windoof\Win XP-2003 Activation-Genuine Advantage Crack-Keygen\KeyGen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.98304.BU
F:\ZIP\Windows_Updates\windoof\Win XP-2003 Activation-Genuine Advantage Crack-Keygen\WPA.exe
[FUND] Ist das Trojanische Pferd TR/Tool.Wpakill.F

Wann lernt ihr endlich die Hände von geklauter Software zu lassen?

In deinem Fall muss ich doch den Ratschlag von Karl (aka KarlKarl) weitergeben: HijackThis.de Support Board - Einzelnen Beitrag anzeigen - Ist mein Rechner mit "PCK/PESpin" infiziert ? (letzter Absatz)

Da hilft jetzt nur noch eins: http://www.trojaner-board.de/51262-a...sicherung.html

Halte dich genau an die Anleitung, sonst wirst du die Schädlinge nie los und selbst wenn du neuaufsetzt, solltest du weiterhin geklaute Software einsetzen, wird dein Rechner nicht dir gehören, sondern dem, dem das Botnetz gehört oder der es gemietet hat.

Du bist entlassen und ich bin raus,
andreas

Veilside · 01.08.2009, 13:27

Diese ganzen aufgelisteten Programme waren nie das Problem die MSN.exe ist nen hack für CSS deswegen wird er auch als Virus erkannt den rest hab ich schon seit Jahren drauf hat sich auch nie bemerkbar gemacht.

Naja ich vermute dieser BDS/Poison stammt...

in der Beschreibung findet man einen Downloadlink zu dem im Video beschriebenen Programm. Das war wahrscheinlich mein untergang..

Aber kann man den BDS/Poison wirklich nicht entfernen? die anderen teile sind mir egal nur der stört mich..

Verdacht auf Backdoor Virus.

Log-Analyse und Auswertung: Verdacht auf Backdoor Virus.