Hi!

AntiVir findet bei mir bei jedem Öffnen des Internet Explorers bzw. von Arbeitsplatz folgenden Trojaner:

C:\WINDOWS\pdxeq1.dll
ist das Trojanische Pferd TR/Crypt.FKM.Gen

Egal welche Option ich auswähle (Löschen, Quarantäne, Umbenennen, Zugriff verweigern) - beim nächsten Mal bekomme ich wieder die gleiche Meldung.
Nebenbei soll erwähnt werden, die betroffene Datei finde ich auch nicht im Explorer.

Auch ein normales Prüfen des PCs bringt mich bisher nicht weiter... - die Meldung kommt wieder.

Außerdem beobachte ich schon seit einiger Zeit eine merkwürdige Umleitung wenn ich auf Google was suche (allerdings nicht jedesmal!).
Und auf manchen Websites sind einzelne Schlagworte (z.b. Städtenamen) manchmal wie ein Link dargestellt. Klickt man darauf kommt man auf eine "Spam-Seite". Die falschen Links sind einfach zu identifizieren, da sie oft in der Farbe anders unterlegt sind, bzw. im Seitenfuß steht als vollständiger Link keine normale Adresse sondernb immer: goto: 'betr. Schlagwort'


Auch wenns hier nicht richtig hingehört, bin ich so frei und poste ein aktuelles hijackthis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:49:36, on 29.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\LightSurf\Common\IconMgr.exe
C:\Programme\LightSurf\Colorific\hgcctl95.exe
C:\Programme\LightSurf\Color Indicator\TICIcon.exe
C:\Programme\MSI\Media Center Deluxe II\WinIRXHelper.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Sinus 61 Komfort\routcnf.exe
O4 - HKLM\..\Run: [Norton] C:\Programme\ASUS\WLAN Card Utilities\NorExec.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: LightSurf.lnk = C:\Programme\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MSI Media Center Deluxe II.lnk = C:\Programme\MSI\Media Center Deluxe II\Projector.exe
O4 - Global Startup: WinIRXHelper.lnk = C:\Programme\MSI\Media Center Deluxe II\WinIRXHelper.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab
O16 - DPF: {BC18E6DF-BE57-4580-93E8-F228F9A133AA} (MaxisSimCity4LotTeleX Control) - http://simcity.ea.com/exchange/lots/teleport/MaxisSimCity4LotTeleX.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Hallo.

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\pdxeq1.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

zusätzlich:

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)


Gruß
Sunny

Bin schon beim ersten Teilproblem:

Ich hab den Avenger zwar entpackt und auf dem Desktop, das Tool lässt sich allerdings nicht öffnen. Woran kann das liegen ich habe es jetzt schon mehrfach versucht (gelöscht, neuer Download).


Edit:

Da Avenger nicht läuft, habe ich nun versucht die Datei C:\WINDOWS\pdxeq1.dll mit "Killbox" zu löschen. Da kam allerdings die Meldung "file seems not to exist", auch "delete bei reboot" entfernte den Bösewicht nicht.
Das heißt, oben genanntes Problem besteht nach wie vor.
Ich werde nun den nächsten Schritt mit MWAV durchführen und mein Ergebnis dann posten.

Die MWAV-Version auf meinem Rechner (8.8.6) weicht von der, in der Beschreibung ab.
Ich habe jetzt natürlich das Log aus dem Programm über 80000 Files. Außerdem hat MWAV einiges gleich selbst bereinigt.
Nichtsdestotrotz habe ich mein "TR/Crypt.FKM.Gen" Problem immer noch.

Vielleicht sollte ich die von Sunny beschriebene Prozedur nochmal exakt durchführen. Hierzu bräuchte zwei Ratschläge: wie bekomme ich den Avenger zum Laufen und wie läuft MWAV gemäß der Beschreibung.

Nachfolgend der erste und letzte Abschnitt meines MWAV-Logs:

Mon Jan 29 22:05:31 2007 => MWAV in SPECIAL PROMOTION MODE.
Mon Jan 29 22:05:31 2007 => **********************************************************
Mon Jan 29 22:05:31 2007 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Mon Jan 29 22:05:31 2007 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Mon Jan 29 22:05:31 2007 => **********************************************************
Mon Jan 29 22:05:31 2007 => Source: C:\DOKUME~1\***\Desktop\mwav.exe
Mon Jan 29 22:05:31 2007 => Version 8.8.6 (C:\DOKUME~1\***\LOKALE~1\Temp\mexe.com)
Mon Jan 29 22:05:31 2007 => Log File: C:\DOKUME~1\***\LOKALE~1\Temp\MWAV.LOG
Mon Jan 29 22:05:31 2007 => MWAV Registered: TRUE.
Mon Jan 29 22:05:31 2007 => User Account: ***
Mon Jan 29 22:05:31 2007 => OS Type: Windows Workstation
Mon Jan 29 22:05:31 2007 => OS: Windows XP
Mon Jan 29 22:05:31 2007 => Ver: Service Pack 2 (Build 2600)
Mon Jan 29 22:05:31 2007 => Windows Root Folder: C:\WINDOWS
Mon Jan 29 22:05:31 2007 => Windows Sys32 Folder: C:\WINDOWS\system32
Mon Jan 29 22:05:31 2007 => Local Fixed Drives: c:\,d:\
Mon Jan 29 22:05:31 2007 => MWAV Mode: Scan and Clean files (for viruses, adware and spyware).
Mon Jan 29 22:05:32 2007 => Latest Date of files inside MWAV: 29 Jan 2007 12:02:5.
Mon Jan 29 22:05:35 2007 => AV Library Loaded...
Mon Jan 29 22:05:35 2007 => MWAV doing self scanning...
Mon Jan 29 22:05:35 2007 => Scanning File C:\DOKUME~1\***\LOKALE~1\Temp\Getvlist.exe
Mon Jan 29 22:05:35 2007 => Scanning File C:\DOKUME~1\***\LOKALE~1\Temp\main.avi
...
Mon Jan 29 22:05:35 2007 => MWAV files are clean.
Mon Jan 29 22:05:59 2007 => Virus Database Date: 1/29/2007
Mon Jan 29 22:05:59 2007 => Virus Database Count: 262441
Mon Jan 29 22:06:12 2007 => Downloading AntiVirus and Anti-Spyware Databases...
Mon Jan 29 22:06:35 2007 => Downloads Successful...
Mon Jan 29 22:06:39 2007 => Reload of AntiVirus Signatures successfully done.
Mon Jan 29 22:06:39 2007 => Virus Database Date: 1/29/2007
Mon Jan 29 22:06:39 2007 => Virus Database Count: 262604
Mon Jan 29 22:07:49 2007 => AV Library Unloaded (3)...
Mon Jan 29 22:38:35 2007 => MWAV in SPECIAL PROMOTION MODE.
Mon Jan 29 22:38:36 2007 => **********************************************************
Mon Jan 29 22:38:36 2007 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Mon Jan 29 22:38:36 2007 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Mon Jan 29 22:38:36 2007 => **********************************************************
...
**********************************************************
Mon Jan 29 22:44:30 2007 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Mon Jan 29 22:44:30 2007 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Mon Jan 29 22:44:30 2007 => **********************************************************
...
**********************************************************
Mon Jan 29 22:45:02 2007 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Mon Jan 29 22:45:02 2007 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Mon Jan 29 22:45:02 2007 =>
Mon Jan 29 22:45:02 2007 => Support: support@mwti.net
Mon Jan 29 22:45:02 2007 => Web: http://www.mwti.net
Mon Jan 29 22:45:02 2007 => **********************************************************
Mon Jan 29 22:45:02 2007 => Version 8.8.6 (C:\DOKUME~1\Markus\LOKALE~1\Temp\mexe.com)
Mon Jan 29 22:45:02 2007 => Log File: C:\DOKUME~1\***\LOKALE~1\Temp\MWAV.LOG
Mon Jan 29 22:45:02 2007 => User Account: ***
Mon Jan 29 22:45:02 2007 => Windows Root Folder: C:\WINDOWS
Mon Jan 29 22:45:02 2007 => Windows Sys32 Folder: C:\WINDOWS\system32
Mon Jan 29 22:45:02 2007 => OS: Windows XP
Mon Jan 29 22:45:02 2007 => Ver: Service Pack 2 (Build 2600)
Mon Jan 29 22:45:02 2007 => Latest Date of files inside MWAV: 29 Jan 2007 18:41:3.

Mon Jan 29 22:45:02 2007 => Options Selected by User:
Mon Jan 29 22:45:02 2007 => Memory Check: Enabled
Mon Jan 29 22:45:02 2007 => Registry Check: Enabled
Mon Jan 29 22:45:02 2007 => StartUp Folder Check: Disabled
Mon Jan 29 22:45:02 2007 => System Folder Check: Disabled
Mon Jan 29 22:45:02 2007 => System Area Check: Disabled
Mon Jan 29 22:45:02 2007 => Services Check: Enabled
Mon Jan 29 22:45:02 2007 => Drive Check: Disabled
Mon Jan 29 22:45:02 2007 => All Drive Check :Enabled
Mon Jan 29 22:45:02 2007 => Folder Check: Disabled

...
80000 geprüfte Files
...

Mon Jan 29 23:59:03 2007 => ***** Scanning complete. *****

Mon Jan 29 23:59:03 2007 => Total Objects Scanned: 93314
Mon Jan 29 23:59:03 2007 => Total Critical Objects: 27
Mon Jan 29 23:59:03 2007 => Total Disinfected Objects: 0
Mon Jan 29 23:59:03 2007 => Total Objects Renamed: 0
Mon Jan 29 23:59:03 2007 => Total Deleted Objects: 163
Mon Jan 29 23:59:03 2007 => Total Errors: 145
Mon Jan 29 23:59:03 2007 => Time Elapsed: 01:13:36
Mon Jan 29 23:59:03 2007 => Virus Database Date: 1/29/2007
Mon Jan 29 23:59:03 2007 => Virus Database Count: 262586

Mon Jan 29 23:59:03 2007 => Scan Completed.

Leider hänge ich immer noch bei meinem geschilderten Problem fest.
Wie gehe ich jetzt am Besten vor?

Ich wäre echt froh, wenn mir jemand helfen könnte. Wie kann ich den im Titel genannten Trojaner von meinem Rechner entfernen?