Hallo,

ich habe mir den Virus Antivirus 2009 eingefangen.
Der Rechner öffnetlaufend Fenster und warnt vor Verseuchung und mann soll Antivirus 2009 kaufen. Ausserdem tut er so alsob er der Rechner laufend abstürzt.

Ich hab ein Logfile mit HJT und einen Scan mit Malewarebytes erstellt, leider weiss ich nicht was nun zu tun it.

Kann mir jemand helfen?

Hier das Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:28:53, on 30.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\MCECardBusTV.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\PROGRA~1\Softwin\BITDEF~2\bdmcon.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\PROGRA~1\Softwin\BITDEF~2\bdnagent.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\inetinfx.exe
C:\WINDOWS\winnt256.exe
C:\Programme\Antivirus 2009\av2009.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\REALTEK RTL8187 Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\libusbd-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: &Research - {037C7B8A-151A-49E6-BAED-CC05FCB50328} - C:\WINDOWS\system32\winsrc.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [MCECardBusTV] C:\WINDOWS\system32\MCECardBusTV.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~2\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~2\bdnagent.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [MicrosoftUpgrade] C:\WINDOWS\inetinfx.exe
O4 - HKCU\..\Run: [MicrosoftUpdate] C:\WINDOWS\winnt256.exe
O4 - HKCU\..\Run: [97315448662257309313592239630662] C:\Programme\Antivirus 2009\av2009.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\Run: [ieupdate] "C:\WINDOWS\system32\ieupdates.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u5-windows-i586-jc.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.8.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - D:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender9\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 11377 bytes


Hier das Scanergebnis:
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1098
Windows 5.1.2600 Service Pack 2

19:55:32 30.08.2008
mbam-log-08-30-2008 (19-55-24).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 103907
Laufzeit: 1 hour(s), 31 minute(s), 11 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 10

Infizierte Speicherprozesse:
C:\Programme\Antivirus 2009\av2009.exe (Rogue.Antivirus2008) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\system32\winsrc.dll (Adware.Search Toolbar) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{037C7B8A-151A-49E6-BAED-CC05FCB50328} (Adware.Search Toolbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{037c7b8a-151a-49e6-baed-cc05fcb50328} (Adware.Search Toolbar) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ieupdate (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\97315448662257309313592239630662 (Rogue.Antivirus2008) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicrosoftUpdate (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Antivirus 2009 (Rogue.Antivirus2008) -> No action taken.
C:\Dokumente und Einstellungen\Tina\Startmenü\Antivirus 2009 (Rogue.Antivirus) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\ieupdates.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\winsrc.dll (Adware.Search Toolbar) -> No action taken.
C:\WINDOWS\system32\scui.cpl (Rogue.XPantivirus) -> No action taken.
C:\Programme\Antivirus 2009\av2009.exe (Rogue.Antivirus2008) -> No action taken.
C:\Dokumente und Einstellungen\Tina\Startmenü\Antivirus 2009\Antivirus 2009.lnk (Rogue.Antivirus) -> No action taken.
C:\Dokumente und Einstellungen\Tina\Startmenü\Antivirus 2009\Uninstall Antivirus 2009.lnk (Rogue.Antivirus) -> No action taken.
C:\WINDOWS\winnt256.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\ponto.DLL (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Tina\Desktop\Antivirus 2009.lnk (Rogue.Antivirus) -> No action taken.
C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk (Rogue.Antivirus2008) -> No action taken.


vielen Dank im voraus und viele Grüsse
Kriggi

Hallo und

Vermutlich wirst Du Dein System Neuaufsetzen müssen, wegen dieser Funde:

C:\WINDOWS\system32\ieupdates.exe
C:\WINDOWS\winnt256.exe

Sollten die Dateien noch da sein, so werte sie bei Virustotal aus. Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach diese Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen.

Hallo,

danke für deine Antwort.
Hier die Auswertung der Files:

ieupdates.exe:

Datei ieupdates.exe empfangen 2008.08.31 22:53:50 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 30/36 (83.34%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.29.0 2008.08.29 -
AntiVir 7.8.1.23 2008.08.31 TR/Dldr.Small.bbn
Authentium 5.1.0.4 2008.08.30 W32/Backdoor2.CCOV
Avast 4.8.1195.0 2008.08.31 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.08.31 Downloader.Agent.AJGZ
BitDefender 7.2 2008.08.31 Trojan.FakeAlert.ABJ
CAT-QuickHeal 9.50 2008.08.29 Backdoor.Delf.kqt
ClamAV 0.93.1 2008.08.31 -
DrWeb 4.44.0.09170 2008.08.31 -
eSafe 7.0.17.0 2008.08.28 -
eTrust-Vet 31.6.6057 2008.08.29 Win32/Warax.R
Ewido 4.0 2008.08.31 -
F-Prot 4.4.4.56 2008.08.30 W32/Backdoor2.CCOV
F-Secure 7.60.13501.0 2008.08.31 Backdoor.Win32.Delf.kqt
Fortinet 3.14.0.0 2008.08.31 PossibleThreat
GData 19 2008.08.31 Backdoor.Win32.Delf.kqt
Ikarus T3.1.1.34.0 2008.08.31 Backdoor.Win32.Delf.kqt
K7AntiVirus 7.10.433 2008.08.30 Backdoor.Win32.Delf.kqt
Kaspersky 7.0.0.125 2008.08.31 Backdoor.Win32.Delf.kqt
McAfee 5373 2008.08.29 Generic FakeAlert.a
Microsoft 1.3807 2008.08.25 TrojanDownloader:Win32/Yektel.E
NOD32v2 3401 2008.08.30 Win32/TrojanDownloader.Delf.ODS
Norman 5.80.02 2008.08.29 W32/Delf.CKDU
Panda 9.0.0.4 2008.08.31 Bck/Agent.JRC
PCTools 4.4.2.0 2008.08.31 Backdoor.Delf!sd6
Prevx1 V2 2008.08.31 Fraudulent Security Program
Rising 20.59.61.00 2008.08.31 Backdoor.Win32.Delf.dgi
Sophos 4.33.0 2008.08.31 Troj/FakeAle-FM
Sunbelt 3.1.1592.1 2008.08.30 Antivirus 2008 PRO
Symantec 10 2008.08.31 XPAntivirus
TheHacker 6.3.0.6.068 2008.08.30 Backdoor/Delf.kqt
TrendMicro 8.700.0.1004 2008.08.31 TROJ_FAKEAV.CX
VBA32 3.12.8.4 2008.08.31 Backdoor.Win32.Delf.kqt
ViRobot 2008.8.30.1357 2008.08.30 Backdoor.Win32.Delf.90624
VirusBuster 4.5.11.0 2008.08.31 -
Webwasher-Gateway 6.6.2 2008.08.31 Trojan.Dldr.Small.bbn
weitere Informationen
File size: 90624 bytes
MD5...: 10e6d9cde0d407d2d8f2cd23f6b94538
SHA1..: aa108d060d1b789080ab4a73b922657d700e1dcb
SHA256: c80794471310ec6a726651e4043ac3cb65b412ea53e246616f330fbb08d3b952
SHA512: 0f6d610619d716b70fbbf5c543346ef183dd6e5d96a17761e3be4a98619ff14f
f960c5655916cc35fe829d22100961a2a0cb70ad11dd65a8da3878515c3e1a57
PEiD..: -
TrID..: File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4011df
timedatestamp.....: 0x46710ac0 (Thu Jun 14 09:30:40 2007)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6e90 0x7000 5.15 998d39631b1c9ae578affe2c62d47aea
.data 0x8000 0xdb5f 0xdc00 7.41 cecb36736bc97705cabd5ba4e38061a2
.bbs 0x16000 0x2 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x17000 0x9b3 0xa00 0.00 a371492f16c0940507435909603efe88
.tls 0x18000 0x70 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x19000 0x7fe 0x200 0.21 68a79b9e31d48ae42ae53097c56bae95
.rsrc 0x1a000 0xe204 0x400 3.60 c4160fbb64521e378848035734226141

( 0 imports )

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=68C4523400BD33A262CA011F3D932E000A78564C
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=10e6d9cde0d407d2d8f2cd23f6b94538


hier winnt256.exe:
Datei winnt256.exe empfangen 2008.08.31 23:06:32 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 16/36 (44.45%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.29.0 2008.08.29 -
AntiVir 7.8.1.23 2008.08.31 HEUR/Malware
Authentium 5.1.0.4 2008.08.30 W32/Trojan-juke-based!Maximus
Avast 4.8.1195.0 2008.08.31 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.08.31 VB.EKM
BitDefender 7.2 2008.08.31 Trojan.Generic.597622
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.08.31 -
DrWeb 4.44.0.09170 2008.08.31 -
eSafe 7.0.17.0 2008.08.28 Suspicious File
eTrust-Vet 31.6.6057 2008.08.29 -
Ewido 4.0 2008.08.31 -
F-Prot 4.4.4.56 2008.08.30 W32/Trojan-juke-based!Maximus
F-Secure 7.60.13501.0 2008.08.31 Suspicious:W32/Malware!Gemini
Fortinet 3.14.0.0 2008.08.31 -
GData 19 2008.08.31 Win32:Trojan-gen
Ikarus T3.1.1.34.0 2008.08.31 Trojan-Spy.Win32.Banbra.ht
K7AntiVirus 7.10.433 2008.08.30 -
Kaspersky 7.0.0.125 2008.08.31 -
McAfee 5373 2008.08.29 -
Microsoft 1.3807 2008.08.25 Worm:Win32/Meenvi.A
NOD32v2 3401 2008.08.30 a variant of Win32/VB.IF
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.31 Suspicious file
PCTools 4.4.2.0 2008.08.31 -
Prevx1 V2 2008.08.31 Worm
Rising 20.59.61.00 2008.08.31 -
Sophos 4.33.0 2008.08.31 -
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.08.31 -
TheHacker 6.3.0.6.068 2008.08.30 -
TrendMicro 8.700.0.1004 2008.08.31 -
VBA32 3.12.8.4 2008.08.31 suspected of Trojan-IM.VB.1 (paranoid heuristics)
ViRobot 2008.8.30.1357 2008.08.30 -
VirusBuster 4.5.11.0 2008.08.31 -
Webwasher-Gateway 6.6.2 2008.08.31 Heuristic.Malware
weitere Informationen
File size: 54784 bytes
MD5...: 45d6f39e57d0f2094e28b6a888292141
SHA1..: cd3242bc712ba9396766680754571f93d665efca
SHA256: 6e0bac2a072d9e6481a54b33f30aef92c79844b79ed2bf7d56f144762b1374f3
SHA512: bcad2d7ca2c09ea40d920ffe2b4054eae94add686f4b8e5f90e652155ba315f9
def9d1567640d3cba17aa04964f0b82a19b844430a428bab3aec629cc1d9bb30
PEiD..: UPX 2.93 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x420c90
timedatestamp.....: 0x48a4f627 (Fri Aug 15 03:21:11 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x1a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x1b000 0x7000 0x6a00 7.90 7f82551593b57aaad9e168899d964c57
.rsrc 0x22000 0x7000 0x6800 5.76 050a42b8eb518617d3e18b2f9e410675

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> MSVBVM60.DLL: -

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4625EBB300BFFD79D61600C326C1E100FCBEDA49
packers (Kaspersky): UPX
packers (F-Prot): UPX_LZMA
packers (Authentium): UPX_LZMA


danke für deine Mühe!

grüsse
Kriggi

Ähmja, ich schätze Du wirst neu aufsetzen müssen.

Zitat:

F-Prot 4.4.4.56 2008.08.30 W32/Backdoor2.CCOV
F-Secure 7.60.13501.0 2008.08.31 Backdoor.Win32.Delf.kqt
Fortinet 3.14.0.0 2008.08.31 PossibleThreat
GData 19 2008.08.31 Backdoor.Win32.Delf.kqt
Ikarus T3.1.1.34.0 2008.08.31 Backdoor.Win32.Delf.kqt
K7AntiVirus 7.10.433 2008.08.30 Backdoor.Win32.Delf.kqt
Kaspersky 7.0.0.125 2008.08.31 Backdoor.Win32.Delf.kqt
McAfee 5373 2008.08.29 Generic FakeAlert.a
Microsoft 1.3807 2008.08.25 TrojanDownloader:Win32/Yektel.E
NOD32v2 3401 2008.08.30 Win32/TrojanDownloader.Delf.ODS
Norman 5.80.02 2008.08.29 W32/Delf.CKDU
Panda 9.0.0.4 2008.08.31 Bck/Agent.JRC
PCTools 4.4.2.0 2008.08.31 Backdoor.Delf!sd6

Eine Backdoor und Dein System ist kompromittiert. Bei Backdoorbefall sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung

Bevor Du neu aufsetzt, bitte ich Dich aber dieses Tool auszuführen, um zu überprüfen ob Dein MBR ebenfalls befallen ist.

Du solltest ebenfall in Erwägung ziehen, sämtliche von Dir genutzten Passwörter zu ändern (von einem sauberen Rechner!!), da man durch bei Backdoorbefall leider annehmen muss, dass auch alle Passwörter ausspioniert worden sind.

Hallo,

Danke fuer deine abschliessende Beurteilung.
Hier das Ergebnis des MBR-Tool:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Scheint ok zu sein.

Ich werde dann mal neuaufsetzen.
Vieleicht noch eine Frage:
Der Laptop um den es gehrt ist der meiner Tochter.
Die surft oft im Messenger, Hi-5, Gimi. Kann der Virus dorther kommen?
Was mir auch aufgefallen ist, das der Bitdefender 2008 zwar nach Updates sucht aber noch nie welche gefunden hat und sich noch nie aktuallisiert hat.
Vielleicht war der rechner dadurch nicht optimalgeschuetzt!

Nochmals danke fuer deine Hilfe

Zitat:

Die surft oft im Messenger, Hi-5, Gimi. Kann der Virus dorther kommen?

Klar. Messenger sind beliebe Plattformen, um Schädlinge zu vertreiben. Siehe auch MSN-Wurm. Da hatte einer den Wurm angeklickt, dadurch wurde sein Konto "gehackt" / übernommen und fortan wurde an jedem Kontakt dieses Kontos eine Message geschickt doch die angehängte Datei anzuklicken... So hat sich der Wurm im Schneeballsystem verbreitet.

Zitat:

Was mir auch aufgefallen ist, das der Bitdefender 2008 zwar nach Updates sucht aber noch nie welche gefunden hat und sich noch nie aktuallisiert hat.
Vielleicht war der rechner dadurch nicht optimalgeschuetzt!

Virenscanner sind einfach nicht alles. Die erkennen zuwenig, von daher solltest Du Deiner Tochter besser eingeschränkte Rechte geben. Wenn sie dann mit eingeschränkten Rchten einen Schädling ausführt, kann der sich nicht im ganzen System ausbreiten.

Meine Schwester musste ich auch so erziehen, jede Ermahnung sie solle nicht alles anzuklicken fruchtete nicht. Erst als ich ihr die Adminrechte entzog bekam ich Ruhe und musste nicht ständig Windows Neuaufsetzen bzw. ein Image zurückspielen.

Du kannst sie zum normalen Benutzer degradieren, wenn Du unter Start / Ausführen den Befehl "control userpasswords2" ausführst. Dort bei den Eigenschaften des Users / Gruppenmitgliedschaft den "Benutzer" auswählen.