Hallo alle zusammen!

Nach vielen gesunden Jahren ist mein Notebook plötzlich krank geworden...

Der oben genannte Bösewicht scheint noch ganz neu zu sein, denn ich kann nirgendwo Infos darüber finden. Deshalb hier die Frage:

Wer kennt den Gesuchten? Und wer weiss, was meinem Notebook noch blüht? Und wie muss ich diesen Trojaner (?) bekämpfen? Neuinstallation scheidet aus, ich habe noch ein paar wenige, sehr wichtige, aber leider noch nicht gesicherte Daten darauf...

Zum Geschehen:

Anstatt ein lustiges Filmchen ging bei meinem letzten Internet-Besuch ein Download-Fenster auf, das sich nicht mehr schließen liess. Das Kabel habe ich wohl zu langsam gezogen. Nach dem ich der Installation also tatenlos zusah, entdeckte ich in der Taskleiste ein Symbol, das da nicht hingehörte (loader.exe). Ich denke, diese Vorgänge sind den meisten hier nicht ganz neu. Mir schon.

Ich habe dann einen neuen Ordner in "Programme" entdeckt ("Video Access ActiveX Object") und es liefen auch ein paar neue Prozesse. Die konnte ich nicht beenden und den Ordnerinhalt nicht löschen. Ich habe dann die Dateien des Ordners umbenannt, die Prozesse beendet und dann konnte ich auch den Ordner löschen.

Anschliessend hat mein AVG Free bei der Hintergrundsuche zweimal und bei einem veranlassten Scan einmal ähnlich klingende Trojaner entdeckt. Der letzte ist der oben genannte. Mittlerweile zeigt mir AVG keine Probleme mehr an. Außer:

C:\WINDOWS\system32\shell32.dll Result: Change, Status: Changed
C:\WINDOWS\system32\ntoskrnl.exe Result: Change, Status: Changed

Habe ich mir etwas geholt, dass immer wieder neue Trojaner erzeugt?

Wer also schon mal von sowas gehört hat, bitte melden!

Viele Grüße,
Kami

Ach ja, hier mein Log-File, ich hoffe ich habe alle persönlichen Daten wegeditiert:

Logfile of HijackThis v1.99.1
Scan saved at 00:13:12, on 21.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Generic\USB Card Reader Driver v2.2e4\FlashIcon.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\*******\LOKALE~1\Temp\Rar$EX03.266\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Microsoft Windows Update
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: SuperBar - {A58E7B58-65B4-4DA0-A1FD-96105E37BF92} - C:\Programme\SUPERBAR\SUPERBAR.dll (file missing)
O3 - Toolbar: SuperBar - {C1A72C8C-D8A2-449B-ABF7-CCE98C103185} - C:\Programme\SUPERBAR\SUPERBAR.dll (file missing)
O3 - Toolbar: Protection Bar - {84938242-5C5B-4A55-B6B9-A1507543B418} - C:\Programme\Video Access ActiveX Object\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [FlashIcon] C:\Programme\Generic\USB Card Reader Driver v2.2e4\FlashIcon.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office2\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.m**rosoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://h**p://security.syman**c.com/...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://h**p://security.syman**c.com/.../bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h**p://update.micros**t.com/m...?1155224727343
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

Hallo

Zitat:

Neuinstallation scheidet aus, ich habe noch ein paar wenige, sehr wichtige, aber leider noch nicht gesicherte Daten darauf...

"die Standartfrage" bei dieser Aussage : Was hättest du bei einem Festplattencrash gemacht?
Ich rate mal, ein dummes Gesicht, richtig?

Lade dir mal Smidfraudfix
halte dich an die Anleitung und poste den rapport1.txt
von vor und den rapport2.txt nach der Bereinigung
sowie ein neues HijackThis Log.

MFG

@KamiKatze
Hallo. Wie ich sehe, hast Du Dich für Deinen PC Ínteressiert, also Dich mit dem Thema Sicherheit auseinandergesetzt.

Aber:

Zitat:

Nach dem ich der Installation also tatenlos zusah

... heißt für mich, Du warst/bist mit vollen Rechten (Administrator) im I-Net.
Informiere Dich (on Board zB) über Sicherheit, Verhalten usw. (zB siehe Signatur(-en))

Ich selbst würde neuinstallieren, aber geh (erstmal) nach Anleitung von "nochdigger".

Zitat:

Neuinstallation scheidet aus, ich habe noch ein paar wenige, sehr wichtige, aber leider noch nicht gesicherte Daten darauf...

Ja, wenn Dein PC crasht, weil die Trojanerchen alles "kaputt" machen, dann ist es wohl zu spät.

Hallo erstmal!

Freut mich so schnell eine, zwei Antworten zu bekommen!

Zum Thema Datensicherung: Ich sichere ja regelmäßig. Aber nicht jedesmal wenn ich das Ding benutzt habe. Ich habe auch noch andere Hobbys. Somit sind es zu verschmerzend wenig wichtige Daten. Aber es sind eben ein paar Sachen dabei. Ich weiss, ich weiss: Selber Schuld. Habt ja recht!

Zum Thema I-Net als Admin: Ja wie denn sonst??? Wie bei der Arbeit? Das kann ich zu Hause nicht gebrauchen. Die meisten Sachen erledige ich ja wegen diesen Einschränkungen zu Hause. Aber für gute Tipps bin ich immer dankbar. Ich habe nur nicht verstanden wo ich die finden soll. Bitte noch mal einen kleinen Hinweis.

So, dann werde ich jetzt mal die vorgehensweise von nochdigger testen und noch mal posten.

Viele Grüße,
Kami

Hallo nochmal!

Kann ich SmitFraudFix auch benutzen, wenn ich nur im Normalmodus booten kann?

Mein System weigert sich strikt im abgesicherten Modus zu starten...

Grüße,
Kami

P.S.: Im Moment läuft ja noch alles. Wenn ich jetzt sichere, kann ich die Daten DVD später Scannen? Verlässlich?

So, jetzt gibt es erst mal den rapport1.txt. Den zweiten kann ich erst machen wenn ich weiss, ob ich auch im nicht abgesicherten Modus mit dem Programm arbeiten kann/darf/soll.

SmitFraudFix v2.151

Scan done at 19:07:33,39, 21.03.2007
Run from C:\Dokumente und Einstellungen\XXXXXXX\Eigene Dateien\Downloads\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\XXXXXXX


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\XXXXXXX\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\XXXXXXX\FAVORI~1

C:\DOKUME~1\XXXXXXX\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{aed6f6a3-183c-488d-9f90-23db99f56e7f}"="apathies"

[HKEY_CLASSES_ROOT\CLSID\{aed6f6a3-183c-488d-9f90-23db99f56e7f}\InProcServer32]
@="C:\WINDOWS\system32\geplxss.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{aed6f6a3-183c-488d-9f90-23db99f56e7f}\InProcServer32]
@="C:\WINDOWS\system32\geplxss.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Hallo

Zitat:

Den zweiten kann ich erst machen wenn ich weiss, ob ich auch im nicht abgesicherten Modus mit dem Programm arbeiten kann/darf/soll.

ich hätte es einfach ausprobiert

Du kannst auch versuchen so in den abgesicherten Modus zu gelangen --> http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
mußt mal schaun ist dort sehr schön erklärt, wenns nicht hinhaut versuch es halt im normalen Modus.

MFG

Danke!

Wird sofort ausprobiert!

....

OK! Abgesicherter Modus geht so und so nicht. Dann eben im normalen Modus. Wird schon schiefgehen...

Hallo nochdigger!

Der Tip mit dem Bundesamt für Sicherheit in der IT war nix.

Jetzt hängt mein Notebook in einer Boot-Schleife, da ich ja eingegeben habe (BOOT.INI), das es automatisch im abgesicherten Modus startet. Aber der geht immer noch nicht...

Könnte ich von der Windows CD booten?

Hallo

mir würde jetzt erstmal einfallen während des Starts die F8 Taste gedrückt halten und im Menu dann "letzte funktionierende Version starten" o.ä. wählen.

MFG

Hallo nochdigger!

War wohl alles nichts. Das mit "letzte funktionierende Version (Konfiguration?) starten" oder ähnliches hat nicht geklappt.

Auch von CD starten und reparieren o.ä. ging nicht.

Ich hätte einfach die Anweisungen vom Bundesministerium nicht befolgen sollen. Wenn mein Notebook, aus welchem Grund auch immer, nicht im abgesicherten Modus starten will, hätte ich das so erst mal akzeptieren sollen.

Letztendlich habe ich an diesem Abend die einfachste aber zeitaufwendigste Variante gewählt: Der Klassiker "Format C:" (also in der neuen Variante mit Windows CD und so).

Das schöne daran: Bis auf mein W-LAN (es will sich jetzt einfach nicht mehr verbinden, kriegt keine Netzwerkadresse mehr) funktioniert alles. Die Partitionen sind jetzt endlich wie ich sie schon immer wollte, der ganze angesammelte Müll ist weg, und so weiter und so fort.

Was mich jetzt aber noch brennend interessieren würde:

Der Trojaner mit dem ich mich hier eingeschrieben habe, war ja nur der letzte von Dreien. Was habe ich mir geholt, das immer wieder neue und Andere Trojaner in verschiedenste Ordner auf meine Festplatte zieht? Und: Die Trojaner wurden ja alle von AVG erkannt. Nicht aber das ominöse Programm. Weisst Du was das gewesen sein könnte?

Ansonsten habe ich wieder einiges dazugelernt, werde mir jetzt eine externe kleine Festplatte in Kombination mit Ghost kaufen und zukünftig noch regelmäßiger sichern.

Oder noch besser: Ich kaufe mir ein MACBook, iBook, PowerBook oder wie auch immer das Apple-Zeugs noch so heisst...

Viele Grüße,
KamiKatze

Zitat:

Letztendlich habe ich an diesem Abend die einfachste aber zeitaufwendigste Variante gewählt: Der Klassiker "Format C:"

Stimm nicht wirklich. Du hast die schnellere Variante gewählt, denn die "Fehler" zu finden und zu beseitigen hätte Dich noch Tage gekostet, wenn es denn was genützt hätte.
(@all - ich bin nicht gegen Bereinigung , aber ein Backup zurückspielen dauert ~15 min)
(also, Kamikatze, Backup des Systems, sobald es sauber eingerichtet und abgesichert ist (ohne "Experimente"))

Zitat:

Was mich jetzt aber noch brennend interessieren würde:

Man möge mich berichtigen, aber ich denke -
Kurz&Knapp: Du hast ein "kleines" verstecktes Programm, welches nicht als Schädling erkannt wird, weil es nicht aktiv ist.
Dieses lädt die Schädlinge auf dem Netz nach, wenn es "feststellt", dass Dein AV-Scanner diese nachgeladenen Schädlinge entfernt.
Ein Teufelskreis.

Zitat:

Ansonsten habe ich wieder einiges dazugelernt

Jawoll!
Kann nicht jeder von sich sagen. (leider) (ich spreche von meinem Bekanntenkreis)
Schönes WE @ all ...