TR/PSW.LineaX.X Infizierung

fabianoo · 25.01.2006, 12:53

Hi,
seitdem ich heute die neuste Version von antivir geladen habe, wird mir eine Infizierung mit "einigen" Trojanern angegeben. Die Loeschung der betreffenden Dateien nach einem Reboot per antivir und killbox fuehrt zu keinem Erfolg. Habe den antivir-Guard inaktiv, weil das System sonst nicht mehr zu gebrauchen ist: es werden staendig die betreffenden Dateien gelistet und es kommt zu temporaeren Einfrierungen des Bildschirms.
Hoffe ihr koennt mir weiterhelfen, finde selbst keine Loesung

Antivir Log:

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 2)
Benutzername: user
Prozessor: Pentium
Arbeitsspeicher: 523732 KB frei

Versionsinformationen:
AVWIN.DLL : 6.32.00.51 532520 04.11.2005 12:58:26
AVEWIN32.DLL : 6.33.0.77 1008128 26.01.2006 01:46:40
AVGNT.EXE : 6.32.00.02 180327 04.11.2005 12:58:26
AVGUARD.EXE : 6.32.00.12 208424 04.11.2005 12:58:26
GUARDMSG.DLL : 6.31.00.01 98344 29.04.2005 08:06:40
AVGCMSG.DLL : 6.32.00.01 299125 04.11.2005 12:58:26
AVGNTDW.SYS : 6.31.00.01 32896 29.04.2005 08:06:40
AVPACK32.DLL : 6.32.00.02 319528 04.11.2005 12:58:26
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 18:10:10
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 18:10:12
AVSched32.EXE : 6.32.00.01 110632 04.11.2005 12:58:26
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 11:23:32
AVREG.DLL : 6.31.00.05 41000 04.11.2005 12:58:26
AVRep.DLL : 6.33.00.155 1650728 26.01.2006 17:40:10
INETUPD.EXE : 6.32.00.53 262203 04.11.2005 12:58:26
INETUPD.DLL : 6.32.00.53 159744 04.11.2005 12:58:26
CTL3D32.DLL : 2.31.000 27136 05.09.2001 20:00:00
MFC42.DLL : 6.02.4131.0 1028096 04.08.2004 00:47:40
MSVCRT.DLL : 7.0.2600.2180 (xpsp_sp2_rtm.0408
MSVCRT.DLL : 7.0.2600.2180 343040 04.08.2004 00:47:44
CTL3DV2.DLL : 2.31.001 27632 14.07.1998 12:59:02

C:\WINDOWS\system32
ab2dll.dll
[FUND!] Ist das Trojanische Pferd TR/PSW.Lineage.NG.2
Konnte nicht gelöscht werden!
dll.dll
[FUND!] Ist das Trojanische Pferd TR/PSW.Lineage.NG
WURDE GELÖSCHT!
dllran.dll
[FUND!] Ist das Trojanische Pferd TR/PSW.Linea.ma.2.A
Konnte nicht gelöscht werden!
pbdll.dll
[FUND!] Ist das Trojanische Pferd TR/PSW.Lineage.hq
Konnte nicht gelöscht werden!
rodll.dll
[FUND!] Ist das Trojanische Pferd TR/PSW.Linea.ma.2.A
Konnte nicht gelöscht werden!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
Fehler beim Wechsel in das Verzeichnis ???????
Fehler beim Wechsel in das Verzeichnis ??

Kommentar: Ich lasse das Programm auf einem chinesischen Betriebssystem laufen, wobei es durch den (anscheinend nicht unterstuetzten) Zeichensatz zu Problemen bei der Pfadangabe kommt.
Die "??" Errors lassen sich wohl darauf zurueckfuehren..

Hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 19:42:26, on 26/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
F:\AVPERSONAL\AVGUARD.EXE
F:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
F:\Gmail Notifier\gnotify.exe
F:\Winamp\winampa.exe
C:\WINDOWS\rundll32.exe
C:\WINDOWS\system\rundll32.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\USBToolbox\Res.EXE
C:\Program Files\iTunes\iTunesHelper.exe
F:\AVPersonal\AVGNT.EXE
C:\WINDOWS\rundll132.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Internet Explorer\d1.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://red.clientapps.yahoo.com/customize/ie/defaults/sb/msgr7/*h**p://www.yahoo.com/ext/search/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://tw.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =

h**p://red.clientapps.yahoo.com/customize/ie/defaults/su/msgr7/*h**p://tw.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ??
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\svchost.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0

\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - F:\GetRight\xx2gr.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program

files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SlowDownCPU] C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] F:\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [WinampAgent] f:\Winamp\winampa.exe
O4 - HKLM\..\Run: [rx] C:\WINDOWS\rundll32.exe
O4 - HKLM\..\Run: [LTT2] C:\WINDOWS\system\rundll32.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USBToolbox\Res.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVGCtrl] F:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [rro] C:\WINDOWS\rundll132.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google-Suche - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\program

files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - F:\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\program

files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: LEO English <-> German - C:\Program Files\LEO-Ext-for-IE\DE_EN.htm
O8 - Extra context menu item: LEO French <-> German - C:\Program Files\LEO-Ext-for-IE\DE_FR.htm
O8 - Extra context menu item: Open with GetRight Browser - F:\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!

\Common\yhexbmestw.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!

\Common\yhexbmestw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Program

Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125498233427
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF4CB0DE-5CDB-4FFF-9185-80423967C7BB}: NameServer = 168.95.192.1

168.95.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common

Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program

Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

eScan log folgt in kuerze, Danke!

TR/PSW.LineaX.X Infizierung

Plagegeister aller Art und deren Bekämpfung: TR/PSW.LineaX.X Infizierung

TR/PSW.LineaX.X Infizierung

Ähnliche Themen: TR/PSW.LineaX.X Infizierung