Hi,
seitdem ich heute die neuste Version von antivir geladen habe, wird mir eine Infizierung mit "einigen" Trojanern angegeben. Die Loeschung der betreffenden Dateien nach einem Reboot per antivir und killbox fuehrt zu keinem Erfolg. Habe den antivir-Guard inaktiv, weil das System sonst nicht mehr zu gebrauchen ist: es werden staendig die betreffenden Dateien gelistet und es kommt zu temporaeren Einfrierungen des Bildschirms.
Hoffe ihr koennt mir weiterhelfen, finde selbst keine Loesung



Antivir Log:

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 2)
Benutzername: user
Prozessor: Pentium
Arbeitsspeicher: 523732 KB frei

Versionsinformationen:
AVWIN.DLL : 6.32.00.51 532520 04.11.2005 12:58:26
AVEWIN32.DLL : 6.33.0.77 1008128 26.01.2006 01:46:40
AVGNT.EXE : 6.32.00.02 180327 04.11.2005 12:58:26
AVGUARD.EXE : 6.32.00.12 208424 04.11.2005 12:58:26
GUARDMSG.DLL : 6.31.00.01 98344 29.04.2005 08:06:40
AVGCMSG.DLL : 6.32.00.01 299125 04.11.2005 12:58:26
AVGNTDW.SYS : 6.31.00.01 32896 29.04.2005 08:06:40
AVPACK32.DLL : 6.32.00.02 319528 04.11.2005 12:58:26
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 18:10:10
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 18:10:12
AVSched32.EXE : 6.32.00.01 110632 04.11.2005 12:58:26
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 11:23:32
AVREG.DLL : 6.31.00.05 41000 04.11.2005 12:58:26
AVRep.DLL : 6.33.00.155 1650728 26.01.2006 17:40:10
INETUPD.EXE : 6.32.00.53 262203 04.11.2005 12:58:26
INETUPD.DLL : 6.32.00.53 159744 04.11.2005 12:58:26
CTL3D32.DLL : 2.31.000 27136 05.09.2001 20:00:00
MFC42.DLL : 6.02.4131.0 1028096 04.08.2004 00:47:40
MSVCRT.DLL : 7.0.2600.2180 (xpsp_sp2_rtm.0408
MSVCRT.DLL : 7.0.2600.2180 343040 04.08.2004 00:47:44
CTL3DV2.DLL : 2.31.001 27632 14.07.1998 12:59:02


C:\WINDOWS\system32
ab2dll.dll
[FUND!] Ist das Trojanische Pferd TR/PSW.Lineage.NG.2
Konnte nicht gelöscht werden!
dll.dll
[FUND!] Ist das Trojanische Pferd TR/PSW.Lineage.NG
WURDE GELÖSCHT!
dllran.dll
[FUND!] Ist das Trojanische Pferd TR/PSW.Linea.ma.2.A
Konnte nicht gelöscht werden!
pbdll.dll
[FUND!] Ist das Trojanische Pferd TR/PSW.Lineage.hq
Konnte nicht gelöscht werden!
rodll.dll
[FUND!] Ist das Trojanische Pferd TR/PSW.Linea.ma.2.A
Konnte nicht gelöscht werden!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
Fehler beim Wechsel in das Verzeichnis ???????
Fehler beim Wechsel in das Verzeichnis ??


Kommentar: Ich lasse das Programm auf einem chinesischen Betriebssystem laufen, wobei es durch den (anscheinend nicht unterstuetzten) Zeichensatz zu Problemen bei der Pfadangabe kommt.
Die "??" Errors lassen sich wohl darauf zurueckfuehren..


Hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 19:42:26, on 26/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
F:\AVPERSONAL\AVGUARD.EXE
F:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
F:\Gmail Notifier\gnotify.exe
F:\Winamp\winampa.exe
C:\WINDOWS\rundll32.exe
C:\WINDOWS\system\rundll32.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\USBToolbox\Res.EXE
C:\Program Files\iTunes\iTunesHelper.exe
F:\AVPersonal\AVGNT.EXE
C:\WINDOWS\rundll132.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Internet Explorer\d1.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://red.clientapps.yahoo.com/customize/ie/defaults/sb/msgr7/*h**p://www.yahoo.com/ext/search/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://tw.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =

h**p://red.clientapps.yahoo.com/customize/ie/defaults/su/msgr7/*h**p://tw.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ??
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\svchost.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0

\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - F:\GetRight\xx2gr.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program

files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SlowDownCPU] C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] F:\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [WinampAgent] f:\Winamp\winampa.exe
O4 - HKLM\..\Run: [rx] C:\WINDOWS\rundll32.exe
O4 - HKLM\..\Run: [LTT2] C:\WINDOWS\system\rundll32.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USBToolbox\Res.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVGCtrl] F:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [rro] C:\WINDOWS\rundll132.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google-Suche - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\program

files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - F:\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\program

files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: LEO English <-> German - C:\Program Files\LEO-Ext-for-IE\DE_EN.htm
O8 - Extra context menu item: LEO French <-> German - C:\Program Files\LEO-Ext-for-IE\DE_FR.htm
O8 - Extra context menu item: Open with GetRight Browser - F:\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!

\Common\yhexbmestw.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!

\Common\yhexbmestw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Program

Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125498233427
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF4CB0DE-5CDB-4FFF-9185-80423967C7BB}: NameServer = 168.95.192.1

168.95.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common

Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program

Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe



eScan log folgt in kuerze, Danke!

hallo,

arbeite mal diese anleitung punkt für punkt ab.
les sie dir vorher in ruhe durch damit du nichts übersiehst..
teile zum schluss das ergebniss der find.bat hier mit.
anleitung: Klick .

aber es sieht nicht grad so gut aus..

Hallo,

es macht nicht wirklich viel Sinn Dein System zu scannen, Du hast

Diesen hier

und noch einige andere komische Einträge.

Du hast einen chinesischen Provider (Hinet?) ?

Gruß

Schrulli

hallo schrulli,

dachte es mir auch das es besser wäre neuaufzusetzen..
aber wollte halt mal wissen was sich noch alles auf dem system tummelt..

gruß

Hallo,

ja, mal sehen, was da noch so kommt.

@ fabianoo: Ändere auf jeden Fall alle Deine Passwörter /Zugangsdaten!

Gruß

Schrulli

Vielen Dank fuer die schnellen Antworten.
Werde die Anleitung durchgehen und die Ergebnisse melden.
Besteht die Moeglichkeit, herauszufinden ueber welche Datei ich mir den Trojaner geholt habe? Falls ich das System neuaufsetze, moechte ich wissen, welche Daten ich auf die Externe packen kann und welche nicht..

Darueber hinaus, woran habt ihr die Infizierung festgemacht? Habe noch einen anderen PC, der nun spinnt und wo ich sonst selbst nach der Zeile gucken koennte.

mfG Fabianoo

Ja, ich nutze das Netz der Firma Hinet. Der PC befindet sich in Taiwan.

Hallo,

Zitat:

Zitat von fabianoo

Besteht die Moeglichkeit, herauszufinden ueber welche Datei ich mir den Trojaner geholt habe?

wie in dem Link beschrieben, rundll132.exe gehört zu besagtem Trojaner.

Zitat:

Darueber hinaus, woran habt ihr die Infizierung festgemacht? Habe noch einen anderen PC, der nun spinnt und wo ich sonst selbst nach der Zeile gucken koennte.

Für den anderen PC machst Du am besten einen zweiten Thread auf und postest ein HJT Log und machst einen eScan.

Gruß

Schrulli

Thu Jan 26 20:53:58 2006 => File C:\WINDOWS\system32\pbdll.dll infected by "Trojan-PSW.Win32.Lineage.mx" Virus! Jan 26 20:53:58 2006 => File C:\PROGRA~1\svchost.exe infected by "Trojan-PSW.Win32.Lineage.mx" Virus!
Thu Jan 26 20:54:12 2006 => File C:\PROGRA~1\svchost.exe infected by "Trojan-PSW.Win32.Lineage.mx" Virus!
Thu Jan 26 20:54:17 2006 => File C:\WINDOWS\system\rundll32.exe infected by "Trojan-PSW.Win32.Lineage.ng"
Thu Jan 26 20:54:17 2006 => File C:\WINDOWS\rundll32.exe infected by "Trojan-Downloader.Win32.Delf.aec" Virus!
File C:\!KillBox\ab2dll.dll infected by "Trojan-PSW.Win32.Lineage.ng" Virus!
File C:\Program Files\Internet Explorer\ac.exe infected by "Trojan-PSW.Win32.Lineage.tk"
File C:\Program Files\svhost32.exe infected by "Trojan-PSW.Win32.Lineage.qr" Virus!

C:\System Volume Information\_restore{173EED2E-23D4-4D81-94C4-37566EABE72E}\RP101\A0052511.dll infected by "Trojan-PSW.Win32.Lineage.mx"
File C:\System Volume Information\_restore{173EED2E-23D4-4D81-94C4-37566EABE72E}\RP101\A0052512.dll infected by "Trojan-PSW.Win32.Delf.fz"
File C:\System Volume Information\_restore{173EED2E-23D4-4D81-94C4-37566EABE72E}\RP101\A0052513.dll infected by "Trojan-PSW.Win32.Lineage.mt" Virus! Action Taken: No Action Taken.

Thu Jan 26 21:19:52 2006 => File C:\System Volume Information\_restore{173EED2E-23D4-4D81-94C4-37566EABE72E}\RP101\A0052514.dll infected by "Trojan-PSW.Win32.Lineage.ng" Virus! Action Taken: No Action Taken.

Thu Jan 26 21:19:52 2006 => File C:\System Volume Information\_restore{173EED2E-23D4-4D81-94C4-37566EABE72E}\RP101\A0052515.dll infected by "Trojan-PSW.Win32.Delf.fz" Virus! Action Taken: No Action Taken.

Thu Jan 26 21:19:52 2006 => File C:\System Volume Information\_restore{173EED2E-23D4-4D81-94C4-37566EABE72E}\RP101\A0052516.dll infected by "Trojan-PSW.Win32.Lineage.ng" Virus! Action Taken: No Action Taken.

Thu Jan 26 21:19:52 2006 => File C:\System Volume Information\_restore{173EED2E-23D4-4D81-94C4-37566EABE72E}\RP101\A0052517.exe infected by "Trojan-PSW.Win32.Delf.fz" Virus! Action Taken: No Action Taken.

File C:\System Volume Information\_restore{173EED2E-23D4-4D81-94C4-37566EABE72E}\RP102\A0052542.dll infected by "Trojan-PSW.Win32.Lineage.mx"

Wobei das nur der Anfang ist. Ich habe ungefaehr an die 780 Meldungen, wovon bestimmt 200 Trojaner Meldungen sind. Wunderbarer Weise bin ich mit vielen verschiedenen Viren/Trojaner Typen befallen. Vielleicht handelt es sich ja um den intelligentesten Virus, der sich den duemmsten Menschen ausgesucht hat ..
Wie auch immer, ich denke, dass ich an einem Neuaufsetzen des Systems nicht vorbeikomme. Wenn euch noch ein paar Sachen zu der ganzen Geschichte einfallen, ich hoere sie mir gerne an.

Btw, wie hoch ist die Gefahr, dass der Trojaner sich auf zu den Daten einer externen Platte mischt, wenn ich diese zum Backuppen anschliesse?

mfG Fabian

Hallo,

Zitat:

Zitat von fabianoo

Wie auch immer, ich denke, dass ich an einem Neuaufsetzen des Systems nicht vorbeikomme.
Btw, wie hoch ist die Gefahr, dass der Trojaner sich auf zu den Daten einer externen Platte mischt, wenn ich diese zum Backuppen anschliesse?

mfG Fabian

gute Idee! Das mit den Neuaufsetzten, schau mal Du beim Neuaufsetzten so beachten solltest.
Beim Backup kann es natürlich passieren, das Du Schadsoftware Backupst, aus den in der Find.bat beschriebenen Dateien also kein Backup erstellen!
Ansonsten nach den Neuaufsetzten, die Backup Platte mit einem aktuellen Scanner checken.

Gruß

Schrulli