Ich habe gestern plötzlich Trojanermeldungen des etrust-Programmes erhalten. Diese wurden automatisch bereinigt. Ich habe dann das Virenprogramm durchlaufen lassen, wieder wurden einige gefunden und bereinigt. Dann habe ich gegoogelt und hier im Forum nachgelesen. Ich habe die Systemwiederherstellung deaktiviert, im abgesicherten Modus gestartet und nochmals scannen lassen, da ich den Tip in einem Posting fand. Nach einem Neustart hatte ich einige Fehlermeldungen bezüglich des Windows-Starts, sorry, habe ich mir nicht alle gemerkt. Dann kamen wieder Virenmeldungen AV!hosts, später dann SillyDI.bar. Über SillyDI.bar habe ich im Forum nichts gefunden (andere Kennungen). etrust hat nur die beiden gefunden und angeblich bereinigt, diese waren nach einem Neustart wieder da.

Ich habe das mit dem hijack-file hier gelesen und probiert. Hoffe, es ist so richtig. Nach der etrust-Bereinigung durchgeführt.

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\DOKUME~1\ruc\LOKALE~1\Temp\x2000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siber Systems\AI RoboForm\RoboFormWatcher.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wbsecsvc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\TEMP\svchost.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\services.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\ruc\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PestPatrolRegistration] C:\Programme\PestPatrol\Register.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C-\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [syswin] C:\DOKUME~1\ruc\LOKALE~1\Temp\x2000.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RoboForm] C:\Programme\Siber Systems\AI RoboForm\RoboFormWatcher.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WinUpgrade] "C:\DOKUME~1\ruc\LOKALE~1\Temp\84296.exe"
O4 - HKCU\..\Run: [WinMedia] C:\DOKUME~1\ruc\LOKALE~1\Temp\3342890.exe
O4 - HKCU\..\Run: [WinUpdate] "C:\DOKUME~1\ruc\LOKALE~1\Temp\3343828.exe "
O8 - Extra context menu item: &2 Customize Menu - res://C:\Programme\Siber Systems\AI RoboForm\roboform.dll/ComCustomIEMenu.html
O8 - Extra context menu item: &7 Fill Forms - res://C:\Programme\Siber Systems\AI RoboForm\roboform.dll/ComFillForms.html
O8 - Extra context menu item: &8 Save Forms - res://C:\Programme\Siber Systems\AI RoboForm\roboform.dll/ComSavePass.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Fill Forms - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O9 - Extra 'Tools' menuitem: &7 Fill Forms - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O9 - Extra button: Save Forms - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O9 - Extra 'Tools' menuitem: &8 Save Forms - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O9 - Extra button: RF toolbar - {724d43aa-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O9 - Extra 'Tools' menuitem: &9 Robo Toolbar - {724d43aa-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143122975250
O16 - DPF: {C604ABC1-242A-46EC-BEB0-9DF8E9DBB20B} (Image Uploader 3.0 Control) - https://mediencenter.t-online.de/fotomgr/res/t-online/js/thirdParty/uploader/CM4allUploader.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4952/mcfscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winsys2freg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\winsys2f.dll
O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\system32\vfqak.dll
O21 - SSODL: CDRecorder029 - {A3BC5E20-0235-1ABF-9CE1-00AA00512029} - C:\WINDOWS\system32\ngss32.dll
O21 - SSODL: DCOM Server 37389 - {2C1CD3D7-86AC-4068-93BC-A02304B37389} - C:\WINDOWS\system32\xbog.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

Leider verstehe ich dies selbst nicht. Es wäre nett, wenn mir jemand sagen könnte, wie ich vorgehen kann.

Ich habe noch den McAfee Webscanner laufen lassen, der bringt außerdem noch folgende infizierte Dateien

C:\...\winsys2f.dll~ BackDoor-CXJ
C:\Dokumente und Einstellungen\...\dchvujn.exe Downloader-BAG
C:\...\installer.exe Spy-Agent.ba
C:\Dokumente und Einstellungen\...\win4F66.tmp BackDoor-CXJ
C:\...\counter21[1].php Downloader-BAG
C:\...\installer[1].exe Spy-Agent.ba
C:\WINDOWS\system32\ldjp32.dll Spam-Loot.dll
C:\WINDOWS\system32\ngss32.dll Spam-Loot.dll
C:\WINDOWS\system32\vxga4me1.exe BackDoor-CXJ
C:\WINDOWS\system32\vxga4me1.exe BackDoor-CXJ

Dieser hat aber leider nur den Scan und keine Bereinigung durchgeführt. Neben etrust ein weiteres Virenprogramm zu installieren, habe ich lieber nicht gemacht, weil sich mehrere nicht so gut vertragen.

Ich danke schon mal für alle Antworten im voraus.

user_cb

Hallo user_cb,

lass bitte einmal folgende Dateien von http://www.virustotal.com/vt/ scannen:

C:\WINDOWS\AGRSMMSG.exe
C:\DOKUME~1\ruc\LOKALE~1\Temp\x2000.exe
C:\WINDOWS\system32\wbsecsvc.exe
C:\WINDOWS\TEMP\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\services.exe

Und Poste danach bitte die Log Datei

Nette Grüße
David

Vielen Dank für die schnelle Antwort und den tollen Link.

Hier die Ergebnisse. Leider wußte ich nicht, wie ich diese als log speichern kann, deshalb die gefundenen von dort per Text eingefügt. Sorry.

C:\WINDOWS\AGRSMMSG.exe

von allen no Virus found


C:\DOKUME~1\ruc\LOKALE~1\Temp\x2000.exe

AntiVir 7.3.1.33 01.30.2007 TR/Agent.8704.8
Authentium 4.93.8 01.30.2007 could be infected with an unknown virus
BitDefender 7.2 01.30.2007 Generic.Malware.Sdld!.A962132B
CAT-QuickHeal 9.00 01.30.2007 (Suspicious) - DNAScan
DrWeb 4.33 01.31.2007 DLOADER.Trojan
eSafe 7.0.14.0 01.30.2007 Suspicious Trojan/Worm
F-Prot 4.2.1.29 01.30.2007 generic
Ikarus T3.1.0.27 01.31.2007 Generic.Malware.Sdld!
Kaspersky 4.0.2.24 01.31.2007 Trojan-Downloader.Win32.Tiny.fk
Panda 9.0.0.4 01.30.2007 Trj/Downloader.MLZ
Prevx1 V2 01.31.2007 Malicious
Sunbelt 2.2.907.0 01.31.2007 VIPRE.Suspicious


C:\WINDOWS\system32\wbsecsvc.exe

von allen no Virus found


C:\WINDOWS\TEMP\svchost.exe

BitDefender 7.2 01.30.2007 Trojan.Downloader.Wmed.D
DrWeb 4.33 01.31.2007 Trojan.MulDrop.5450
Kaspersky 4.0.2.24 01.31.2007 Trojan-Dropper.Win32.Small.avs
Prevx1 V2 01.31.2007 Malware.Sys.Covert
VBA32 3.11.2 01.31.2007 Trojan.MulDrop.5450


C:\WINDOWS\system32\dllhost.exe

von allen no virus found


C:\WINDOWS\system32\services.exe

von allen no virus found


Liest sich nicht so gut .

Zusatz:

Beim Neustart kam die Fehlermeldung

Win32/Hostblock wurde gefunden.

Ich habe gelesen, das wäre nicht entfernbar.


Ich war so sicher, daß mein System geschützt ist, Router Firewall, ich öffne keine Mailanhänge, etrust-Antivirenprogramm (naja, das findet wohl nicht so doll). Was kann man denn noch machen?

Hallo user_cb,

ich würde dir an dieser Stelle zu einem Neuaufsetzen deines Systems raten. Eine Anleitung findest du unter hier

Ansonsten kann ich dir folgendes vorschlagen:

1. System im abgesicherten Modus (!)und ohne aktivierter (!) Systemwiederherstellung mit dem Programm "ClearProg" das System bereinigen.
2. Anschließend das Programm AVZ Antivirial Toolkit ausführen im normalen Modus von Windows ausführen, da dieses Programm aktuelle Signaturen aus dem Internet benötigt. Eine Anleitung findest du unter dem oben genannten Link

Um wirklich sicher zu gehen, empfehle ich aber zu einer Neuinstallation, da nur so wirklich alles vom System gelöscht wird.

Nette Grüße
David

Hallo David,

den abgesicherten Modus konnte ich starten, aber dann tut sich leider gar nichts. Die CPU-Auslastung ist bei 100 %. Eine csrss.exe braucht allein schon über 90 %. Ich habe nach der Datei gegoogelt, das ist eine Systemdatei (liegt nur in Windows/System32, also IMHO kein Virus). Leider kann ich aber deren Priorität nicht im Task-Manager ändern oder den Prozeß beenden, kommt gleich eine Fehlermeldung. Bei der Auslastung läßt sich nichts weiter anklicken, nur Sanduhr. Auch nicht mit Admin-Anmeldung.

Eigentlich wollte ich ein Neuaufsetzen verhindern. Wenn es sonst keine Lösung gibt, ich warte noch, bleibt mir wohl nichts anderes übrig.

Aber vielen Dank für Deine Bemühungen und den Link für die Anleitung Neuaufsetzen, der mir, wenn es wirklich nicht anders geht, sehr hilfreich sein wird.

Gruß
user_cb

Nach mehreren Versuchen habe ich es geschafft, im abgesicherten Modus cleanprog durchführen zu können. Anschließend habe ich wie vorgeschlagen, avz4en laufen lassen.

Jetzt erhalte ich aber immer noch nach Neustarts die Meldung

Win32/Covesmer' wurde in C:\DOKUME~1\RUC\LOKALE~1\TEMP\MAINDLL.DLL entdeckt.
gelöscht

Etrust löscht diesen jedesmal, aber nach jedem Neustart ist wieder die Meldung. Da dieser von etrust nach einem Start schon gelöscht wird, kann ich diesen wohl wieder nur im abgesicherten Modus entfernen, aber mit welchem Tool kann ich diesen entfernen? Oder reicht es aus, wenn ich diesen im abgesicherten Modus aus dem Temp lösche, falls zu finden?

Per google habe ich keine Hilfe zu Covesmer gefunden, außer auch nur einem Link zu etrust, was ich ja schon habe.

Danke für jeden Tip.

Hallo user_cb,

ich habe im meinem vorheringen Post leider vergessen, dir zu sagen, das es wichtig ist, mit HijackThis vorher die als Trojaner infizierten Exe Dateien im abgesicherten Modus zu "fixen", den Rechner erneut im abgesicherten Modus zu starten und dann das CleanProgramm dort laufen zu lassen. Dies natürlich wie schon gesagt, ohne aktivierter Systemwiederherstellung. Wie man diese deaktiviert, wird hier im Board über eine Anleitung super erklärt. Nachdem du diese Schritte durchgeführt hast, starte den Rechner normal ins Windows und lasse AVZ Antivirial Toolkit dein System scannen.

Eventuell wird der Trojaner unschädlich gemacht. ZZ. sieht es so aus, als würde der Trojaner immer wieder starten und sich selbst reparieren.

Nette Grüße
David