Hallo liebe Gemeinde,

ich habe ein nicht sooo großes, aber nerviges Problem!

Ich habe meinen PC neuaufgesetzt und sofort als ich grade die Windowsupdates runtergeladen hab, hatte ich schon nen Virus drauf...Also es war noch nicht direkt ein Virus, sondern ein Trojan-Downloader.
Ich glaube er hieß: Trojan.Downloader.W32.small.aux oder so ähnlich.

Er hat folgendes angestellt:

- 6 Dateien im system32-Ordner angelegt (vxh8jkdq1, vxh8jkdq2, vxh8jkdq5, vxh8jkdq6, vxh8jkdq7, vxh8jkdq8)

- mein Taskmanager deaktiviert

- zwei rote Symbole in der Taskleiste erstellt mit dem Text: Your computer is infected

- Meinen PC einmal zum Absturz gebracht

- meinen Internetexplorer unbrauchbar gemacht


Ich habe folgendes gemacht:

- mit dem Taskmanager von TuneUpUtilities die Prozesse der oben genannten Dateien beendet und die Dateien gelöscht

- den Taskmanager in der Registry wieder aktiviert


Doch jetzt passiert immer folgendes:

- Nach jedem Neustart muss ich den Taskmanager wieder aktivieren

- die Startseite vom Internetexplorer steht aus: ?? ; selbst wenn ich sie per Hand wieder auf about:blank umstelle, steht sie wieder auf ?? und somit lässt sich der IE nicht öffnen...


Eine Sache kommt mir noch komisch vor:

- eine Datei namens Kernels32.exe, die immer versucht auf's Internet zuzugreifen

ich traue mich aber nicht, diese zu löschen, da sie ja auch vom System sein kann.

Was soll ich tun?


MfG trojanhorse

PS.: ich glaube nicht, dass diese komischen 6Dateien auf's Internet zugreifen konnten und somit den Trojaner runterladen konnten, da ich meine Firewall so eingestellt hab, dass sie KEINE Verbindung herstellen können!


VIELEN DANK!!!

das ist durchseucht nehme ich mal an. also auch backdoors darunter. da ich aber keine genauen daten darüber habe:

1. erstelle ein HijackThis Logfile
2. erstelle ein eScan Logfile.

OK...also hier is das HiJackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:00:37, on 04.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Copy Handler\Copy Handler.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech Keyboard\iTouch\iTouch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Tweak-XP Pro 4\AdBlocker.exe
C:\Programme\Tweak-XP Pro 4\popup.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Logitech MX 518\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Yannick\LOKALE~1\Temp\Rar$EX00.516\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: AmsServer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Copy handler] C:\Programme\Copy Handler\Copy Handler.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Programme\Creative SB Live\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech Keyboard\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Taskmanager] C:\taskmanager_einschalten.reg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro 4\AdBlocker.exe"
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programme\Tweak-XP Pro 4\popup.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech MX 518\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E49DE87-5658-42DF-ACF1-03BD14EA3B6D}: NameServer = 205.188.146.145
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Ich hab jetz ma mit Spybot S&D und AdAware nen scan gemacht und die Sachen gefixxt, aber des mit dem IExplorer geht immernoch nich...

MfG trojanhorse

@Chris14

Zitat:

das ist durchseucht nehme ich mal an. also auch backdoors darunter.

Glaskugel-Wahrsagerin . Wie kommst du drauf?
@trojanhorse

Zitat:

Ich habe meinen PC neuaufgesetzt und sofort als ich grade die Windowsupdates runtergeladen hab

Ich gehe stark davon aus, dass du noch bevor die Updates schon ein Haufen anderer Programme installiert hast. Ich weiss aber nicht genau, ob du wirklich SP2 noch vor dem ersten Internet-Gang installiert hast. Wenn es nicht so gewesen war, kann ich vemuten, dass du die ganze Arbeit umsonst gemacht hast.
Im Log sehe ich nichts Kritisches.
Bitte mach Update von Kaspersky und Fullscan (lass es aber am Gründlichsten tun, ggf. uber Nacht laufen). AFAIK kannst du beim KAV die Option "PC nach dem Scan herunterfahren" aktivieren.

Vielen Dank rene-gad.

Ich kann dir versichern, dass ich VOR dem ersten Internetgang das SP2 installiert hab.

Ich glaube aber, dass ich durch rumspielen mit AdAware und Spybot S&D jetz nun endlich das Problem gelöst hab...
Ich glaube es liegt an AdWatch, dass das Problem gelöst ist...

Ich werde jedoch noch ein KAV-Scan durchlaufen lassen...

Melde mich dann vielleicht nochmal...

MfG trojanhorse