Hallo,

ich kämpfe seit 2 Tagen mit einer Infektion. Plötzlich installierten sich diverse Trojaner, Programme durch simples aufrufen einer Website.

Ich konnte (denke ich) den größten Schaden vermeiden, jedoch ist mein System immernoch nicht ganz sauber:

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon werden die Einträge Shell und Userinit prompt wieder in "Explorer.exe, C:\WINDOWS\system32\maeqf.exe" geändert wenn man versucht sie zu löschen. Die Datei(en) exisiteren nicht mehr.

Es muss sich also um einen Prozess oder Dienst handeln, der im Hintergrund agiert.

Ich habe diverse Tools ausprobiert aber keiner konnte ihn finden.
(Escan, hijacker, antivir, ad-aware, spy sweeper um nur ein paar zu nennen)

Zudem wird in windows\system32\ eine bocqq.dat Datei beim booten immer wieder neu angelegt.

Hier mein Hijack-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:13:15, on 13.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\internet\SpamPal\spampal.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\internet\pnp\mirc.exe
C:\Programme\Microsoft Hardware\Mouse\POINT32.EXE
C:\internet\Trillian\trillian.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\totalcmd\TOTALCMD.EXE
c:\Programme\HiJackThis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\maeqf.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,wvkupnw.exe
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\internet\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Run VNC Server.lnk = C:\Programme\RealVNC\winvnc4.exe
O4 - Global Startup: spampal.lnk = C:\internet\SpamPal\spampal.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\internet\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open Link Target in Firefox - file://C:\Dokumente und Einstellungen\ElPopo\Anwendungsdaten\Mozilla\Firefox\Profiles\u6qyvgl7.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html
O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://C:\Programme\OmniPage15.0\PDFConverter3\IEShellExt.dll /100
O8 - Extra context menu item: View This Page in Firefox - file://C:\Dokumente und Einstellungen\ElPopo\Anwendungsdaten\Mozilla\Firefox\Profiles\u6qyvgl7.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\internet\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\internet\FlashGet\flashget.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120845903773
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7811473-AC05-4C2F-A076-B2DAA171A9E1}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\Programme\Maya7.0\docs\wrapper.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe



Bis auf die 2 Registry-Einträge sehe ich keine Gefahr, da muss ich doch etwas übersehen?
Ich schätze mal der Trojaner lädt irgendeine DLL durch ein Systemservice.

Ich hoffe mir kann jemand auf die Sprünge helfen.

Danke im Voraus.

Wie wäre es denn, wenn Du diese Dateien mal bei Jotti (siehe meine Signatur) prüfen würdest:
C:\WINDOWS\system32\maeqf.exe
C:\WINDOWS\SYSTEM32\wvkupnw. exe
Wie man Dateien richtig findet, kannst Du auch meiner Signatur entnehmen.