Hallo zusammen.
Ich bin neu hier und hab auch nicht so große Ahnung von der Materie. Ich weiß, dass schon einige Anfragen zu diesem Thema kamen. Kann damit aber nicht soviel anfangen.

Bei mir ist folgendes Problem aufgetreten:
Beim Versuch meine Festplatte zu öffnen kommt die Fehlermeldung
- Windows Script Host ...Die Skriptdatei "C:\PETER-100568D5F.vbs" konnte nicht gefunden werden - Beim Rechtsklick und "öffnen" hab ich aber Zugang zu meiner Festplatte. Auch wenn ich den Internetexplorer aufmache steht in der Statusleiste "Hacked by PETER-100568D5F". Über den Mozilla komme ich aber problemlos ins Netz.

Nach einem Scann mit Avira AntiVir Personal 2008 wurde dieser Scannbericht erhalten:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 7. Oktober 2008 23:52

Es wird nach 1666869 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: WILLI

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 19.07.2008 15:39:37
AVSCAN.DLL : 8.1.4.0 48897 Bytes 19.07.2008 15:39:37
LUKE.DLL : 8.1.4.5 164097 Bytes 19.07.2008 15:39:38
LUKERES.DLL : 8.1.4.0 12545 Bytes 19.07.2008 15:39:38
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 15:15:56
ANTIVIR2.VDF : 7.0.6.217 3773440 Bytes 26.09.2008 15:25:26
ANTIVIR3.VDF : 7.0.7.5 306688 Bytes 07.10.2008 12:36:55
Engineversion : 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 07:09:45
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 19.09.2008 11:06:07
AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 09:12:06
AERDL.DLL : 8.1.1.2 438644 Bytes 19.09.2008 11:06:06
AEPACK.DLL : 8.1.2.3 364918 Bytes 24.09.2008 14:28:27
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 19.09.2008 11:06:05
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 19.09.2008 11:06:05
AEHELP.DLL : 8.1.0.15 115063 Bytes 31.05.2008 13:29:20
AEGEN.DLL : 8.1.0.36 315764 Bytes 24.08.2008 19:06:42
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 17:55:50
AECORE.DLL : 8.1.1.11 172406 Bytes 06.09.2008 18:56:55
AEBB.DLL : 8.1.0.1 53617 Bytes 19.07.2008 15:39:38
AVWINLL.DLL : 1.0.0.12 15105 Bytes 19.07.2008 15:39:37
AVPREF.DLL : 8.0.2.0 38657 Bytes 19.07.2008 15:39:37
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 17:55:46
AVREG.DLL : 8.0.0.1 33537 Bytes 19.07.2008 15:39:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 07:09:45
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19.07.2008 15:39:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 07:09:45
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19.07.2008 15:39:38
NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 07:09:45
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19.07.2008 15:39:36
RCTEXT.DLL : 8.0.52.0 86273 Bytes 19.07.2008 15:39:36

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 7. Oktober 2008 23:52

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wisptis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WisLMSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sp_rsser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIBVE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpywareTerminatorShield.Exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Kalenderchen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '58' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ocqay.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{028F0533-F630-4913-B36C-09389162F65A}\RP216\A0066360.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Mittwoch, 8. Oktober 2008 01:14
Benötigte Zeit: 1:22:21 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

19160 Verzeichnisse wurden überprüft
716281 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
716278 Dateien ohne Befall
3453 Archive wurden durchsucht
2 Warnungen
2 Hinweise

In dem Moment, als Avira AntiVir die Warnung eines Befalls angab, hatte ich einen USB-Stick angesteckt.
Dies sind die Ereignissmeldungen. Trotz das ich auf "Zugriff verweigern" geklickt hatte, wurde der Zugriff erlaubt.

In der Datei 'F:\PETER-100568D5F.vbs'
wurde ein Virus oder unerwünschtes Programm 'HTML/Rce.Gen' [virus] gefunden.

In der Datei 'C:\WINDOWS\system32\WILLI.vbs'
wurde ein Virus oder unerwünschtes Programm 'HTML/Rce.Gen' [virus] gefunden.

Habe einen Fujitsu Siemens Esprimo Laptop, Intel Core2 Duo CPU, 1.50GHz; 1,99GB RAM.

Ich hoffe, ich konnte mein Problem halbwegs verständlich schildern und mir kann jemand helfen.
Was kann eigentlich alles durch so einen Trojaner/Virus passieren?

Danke schonmal und viele Grüße!

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hallo root24,

danke für deine Antwort.
Ich habe soweit alles abgearbeitet, bis auf ComboFix. Da war ich mir unsicher wegen der Windows XP Wiederherstellungskonsole (nur SP2, habe mittlerweile SP3). Nicht, dass ich da irgendwas versemmel.

Hier mal die log-files.

Hijackthis:

Code: Alles auswählenAufklappen

ATTFilter

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:04:32, on 17.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
c:\windows\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Kalenderchen\Kalenderchen.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Launch Manager\WisLMSvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXX\Desktop\HJT\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by PETER-100568D5F
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [Wbutton] C:\Programme\Launch Manager\WButton.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S15B.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Wuala.lnk = C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Wuala\Roaming\Wuala.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Programme\Launch Manager\WisLMSvc.exe

--
End of file - 7272 bytes
         

Die Systemwiederherstellung habe ich auch deaktiviert.

Mit dem MBR-TOOL wurde folgende txt.Datei erhalten:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

Beim Ausführen von Blacklight kam das raus:

Code: Alles auswählenAufklappen

ATTFilter

10/17/08 18:20:26 [Info]: BlackLight Engine 2.2.1092 initialized
10/17/08 18:20:27 [Info]: OS: 5.1 build 2600 (Service Pack 3)
10/17/08 18:20:27 [Note]: 7019 4
10/17/08 18:20:27 [Note]: 7005 0
10/17/08 18:20:38 [Note]: 7006 0
10/17/08 18:20:38 [Note]: 7011 716
10/17/08 18:20:38 [Note]: 7035 0
10/17/08 18:20:38 [Note]: 7026 0
10/17/08 18:20:38 [Note]: 7026 0
10/17/08 18:20:42 [Note]: FSRAW library version 1.7.1024
10/17/08 18:25:31 [Note]: 2000 1012
10/17/08 18:26:03 [Note]: 7007 0
         

Malewarebytes Antimaleware:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1278
Windows 5.1.2600 Service Pack 3

17.10.2008 20:34:40
mbam-log-2008-10-17 (20-34-40).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 299305
Laufzeit: 1 hour(s), 46 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
         

Als nächstes die Datei von Silentrunners:

File-Upload.net - Startup-Programs--XXX--2008-10-18-11.25.29.txt

Und zu guter Letzt noch die listing.txt:

File-Upload.net - listing.txt

Falls ComboFix noch nötig ist und ich beim Installieren der Wiederherstellungskonsole mit SP2 nichts am Rechner "kaputt" mache oder Daten verloren gehen, werde ich das Tool noch ausführen!

Hab erstmal vielen Dank und bis später.

Viele Grüße

Friedjoch

Die Wiederherstellungskonsole ist nicht zwingend erfordlich, Du kannst Combofix auch ohne ausführen. Wäre schon gut wenn Du das tätest, denn das Logfile von CF liefert wertvolle Infos.

Ich schau mir Deine anderen Logfile gleich mal genauer an.

Hi root24,

ok, hab ComboFix ausgeführt. Die Logfile ist folgende:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-10-19.04 - XXX 2008-10-20 10:53:01.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1560 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\ocqay.dat
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\ocqay_nav.dat
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\ocqay_navps.dat

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-20 bis 2008-10-20  ))))))))))))))))))))))))))))))
.

2008-10-20 10:42 . 2008-10-20 10:42	<DIR>	d--------	C:\Programme\CCleaner
2008-10-17 18:29 . 2008-10-17 18:29	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-17 18:29 . 2008-10-17 18:29	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-10-17 18:29 . 2008-10-17 18:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-17 18:29 . 2008-10-16 20:25	38,496	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-17 18:29 . 2008-10-16 20:25	15,504	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-17 14:12 . 2008-09-08 12:41	333,824	-----c---	C:\WINDOWS\system32\dllcache\srv.sys
2008-10-16 18:13 . 2008-09-15 17:24	1,846,528	-----c---	C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-16 18:10 . 2008-08-14 15:19	2,191,488	-----c---	C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-16 18:10 . 2008-08-14 15:19	2,147,840	-----c---	C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-16 18:10 . 2008-08-14 15:19	2,068,352	-----c---	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-16 18:10 . 2008-08-14 15:19	2,026,496	-----c---	C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-09-24 10:48 . 2008-09-24 10:48	<DIR>	d--------	C:\Programme\MSECache

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-20 08:19	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-10-20 07:51	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Wuala
2008-10-19 12:48	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2008-10-19 12:46	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Spyware Terminator
2008-10-17 12:10	---------	d-----w	C:\Programme\Spyware Terminator
2008-10-14 09:18	---------	d-----w	C:\Programme\ICQToolbar
2008-10-09 17:13	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\AdobeUM
2008-09-15 15:24	1,846,528	----a-w	C:\WINDOWS\system32\win32k.sys
2008-09-12 07:13	---------	d-----w	C:\Programme\ICQ6
2008-09-08 10:41	333,824	----a-w	C:\WINDOWS\system32\drivers\srv.sys
2008-08-31 08:07	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\vlc
2008-08-31 08:06	---------	d-----w	C:\Programme\VideoLAN
2008-08-20 05:08	671,744	----a-w	C:\WINDOWS\system32\wininet.dll
2008-08-14 13:19	2,147,840	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:19	2,026,496	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-02-04 18:33	382,352	----a-w	C:\Programme\jre-6u3-windows-i586-p-iftw.exe
2007-12-22 15:46	12,873,518	----a-w	C:\Programme\difga_setup.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"EPSON Stylus DX5000 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE" [2006-09-22 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-04-20 142104]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-04-20 162584]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-04-20 138008]
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2007-04-26 192512]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"DMS-Kalenderchen"="C:\Programme\Kalenderchen\Kalenderchen.exe" [2005-07-20 1445376]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"SpywareTerminator"="C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" [2008-06-16 1817600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\XXX\Startmen�\Programme\Autostart\
Wuala.lnk - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Wuala\Roaming\Wuala.exe [2008-08-14 178534]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 217193]
VPN Client.lnk - C:\WINDOWS\Installer\{871DF2BE-41D2-4334-AC33-839AF16FC8FE}\Icon3E5562ED7.ico [2008-03-26 6144]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a------ 2006-05-20 12:13 188416 C:\Programme\PowerISO\PWRISOVM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-11-30 03:04 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2006-11-24 02:06 487424 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-12-22 16:57 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2006-10-23 12:00 815104 C:\Programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ARCGIS License Manager"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\Zattoo\\Zattoo1.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 9867]
R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-06-16 141312]
R3 WisLMSvc;WisLMSvc;C:\Programme\Launch Manager\WisLMSvc.exe [2006-11-17 118784]
S3 HPFXBULK;HPFXBULK;C:\WINDOWS\system32\drivers\hpfxbulk.sys [2006-04-04 9344]
S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys [2006-11-10 61600]
S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE2Emdfl.sys [2006-11-10 9360]
S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE2Emdm.sys [2006-11-10 97184]
S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE2Emgmt.sys [2006-11-10 88688]
S3 se2End5;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\system32\DRIVERS\se2End5.sys [2006-11-10 18704]
S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\SE2Eobex.sys [2006-11-10 86560]
S3 se2Eunic;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\system32\DRIVERS\se2Eunic.sys [2006-11-10 90800]
S3 Usblink;Usblink Driver;C:\WINDOWS\system32\Drivers\ulink.sys [ ]
S3 VNic;USB Virtual Network Driver;C:\WINDOWS\system32\DRIVERS\VNic.sys [ ]
S4 ARCGIS License Manager;ARCGIS License Manager;C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe [1999-12-01 467968]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\startup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a3fcc7b8-b136-11dc-9ba7-0016d38df288}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe PETER-100568D5F.vbs

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-09-13 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-ccApp - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
MSConfigStartUp-SDTray - C:\Programme\Spyware Doctor\SDTrayApp.exe
MSConfigStartUp-ZoneAlarm Client - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\5j3zfhmw.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - h**p://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-10-20 10:56:04
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-20 10:59:47
ComboFix-quarantined-files.txt  2008-10-20 08:59:44

Vor Suchlauf: 25 Verzeichnis(se), 77.030.621.184 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 77,021,929,472 Bytes frei

159	--- E O F ---	2008-10-17 18:57:54
         

Nach dem ComboFix fertig war, hab ich nochmal geschaut und kann nun wieder ganz normal auf meine Festplatte zugreifen. Ohne Fehlermeldung. Auch der Internet-Explorer zeigt keine Fehlermeldung mehr.
Hab ich den lästigen Plagegeist los? Oder gibt's noch versteckte Daten usw.?

Ich danke dir erstmal für deine Hilfe.

Bis denn dann.

MfG

Friedjoch

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\Wuala
         

kennst Du diesen Ordner?

Ja, damit sollte alles in Ordnung sein!