Problem mit Trojaner/Spyware: TR/Dldr.Zlob.dwe

08-15 · 27.10.2007, 01:38

Dieser Trojaner oder Spyware wird von Avira Antivir gefunden und etwa so bezeichnet: TR/Dldr.Zlob.dwe

Herkunft des Virusproblems (Name und Ort) von solch einer Datei:
C:\System Volume Information\_restore{4DA34BB0-F856-4252-B77B-93779BC0D082}\RP34\A0025254.exe

Hier nun mein aktueller - im abgesicherten Modus erstellter - HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 0x:xx: , on 2X.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxx.++++gelöscht++++.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Sound\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] D:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe "
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Office 2000\Office\OSA9.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: DirMngr - Unknown owner - D:\GNU\GnuPG\dirmngr.exe" --service (file missing)
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Programme\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe

Kann mir jemand helfen, wie ich den Virus/Trojaner endgültig los werde?
Weiß wer weiter? - Ersuche um Hilfe.
Mit Dank im Voraus!

08-15 · 27.10.2007, 01:42

Nachfolgend der Rapport mit dem SmitFraudFix (Auswahl Punkt 1)

SmitFraudFix v2.242

Scan done at xx:xx:02,96, 2x.10.2007
Run from D:\HiJackThis\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Admin

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\+++ich+++

Admin\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\+++ich+++\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
C:\Programme\Video Add-on\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Sha

redTaskScheduler]
"{c82e1789-207a-4b8a-806f-76b62dfac2a2}"="hutlet"

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End

Und dann wählte ich beim SmitfraudFix den Punkt 2: Clean the registry ... --> Y
Hier der Rapport:

SmitFraudFix v2.242

Scan done at xx:xx:04,64, 2x.10.2007
Run from D:\HiJackThis\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Sha

redTaskScheduler]
"{c82e1789-207a-4b8a-806f-76b62dfac2a2}"="hutlet"

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
111.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\Programme\Video Add-on\ Deleted
»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End

nochdigger · 27.10.2007, 06:52

Hallo

wie sieht es aus nach dem durchlauf von Smitfraudfix?

Was ist das für ein Programm
D:\GNU\GnuPG\dirmngr.exe
kennst du es?

Deaktiviere bitte die Systemwiederherstellung --> Systemwiederherstellung

lass bitte noch Combofix laufen

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Führe ein Update deines Antivirenprogramms durch und lass es im abgesicherten Modus (beim start F8 drücken) einen Fullscan durchführen.
Anschließend starte dein System neu in den normalen Modus aktiviere die Systemwiederherstellung und berichte bitte.
Poste bitte auch das Log von Combofix.

MFG

08-15 · 27.10.2007, 20:35

Sei gegrüßt und HALLO nochdigger!

Zitat:

Zitat von nochdigger

Hallo

wie sieht es aus nach dem durchlauf von Smitfraudfix?

So wie vorher. Der Trojaner erscheint bei mir seit etwa 2 Tagen - um etwa 23:15 Uhr meldet der Virenscanner Avira AntiVir drei Trojaner! Näheres dazu in den ersten 3 Zeilen dieses Fadens.

Zitat:

Zitat von nochdigger

Was ist das für ein Programm
D:\GNU\GnuPG\dirmngr.exe
kennst du es?

GPG ist ein Programm, das zur Verschlüsselung von e-Mails dient!
Ich habe mir GPG für Windows (gpg4win) - und zusätzlich auch bei GnuPG ein Häkchen gemacht - runtergeladen und versuche gerade die Verschlüsselung von e-Mails zu erlernen und nach meinem Bedarf einzustellen!

Zitat:

Zitat von nochdigger

Deaktiviere bitte die Systemwiederherstellung --> Systemwiederherstellung

lass bitte noch Combofix laufen

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Führe ein Update deines Antivirenprogramms durch und lass es im abgesicherten Modus (beim start F8 drücken) einen Fullscan durchführen.
Anschließend starte dein System neu in den normalen Modus aktiviere die Systemwiederherstellung und berichte bitte.
Poste bitte auch das Log von Combofix.

Habe mit beiden Virenprogrammen upgedated und dann durchsucht - nichts gefunden.
Die Systemwiederherstellung hat sich von selbst aktiviert (d.h. das Häkchen war nicht mehr angekreuzt.
Vorher beim Aussteigen aus dem abgesichertem Modus habe ich noch den normalen Modus eingestellt.)

Hier nachfolgend mein neuer Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:10:23, on 27.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe
D:\HiJackThis202.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] D:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: DirMngr - Unknown owner - D:\GNU\GnuPG\dirmngr.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Programme\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe

--
End of file - 5245 bytes

Hier nachfolgend mein neuer log von ComboFix:
Ich habe eigenen Namen anonymisiert!

ComboFix 07-10-23.2 - +++ich+++ Admin 2007-10-27 20:17:58.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.794 [GMT 2:00]
ausgeführt von:: D:\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\+++ich+++ Admin\err.log
C:\Dokumente und Einstellungen\i\Desktop\internet.lnk
C:\WA6P
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\stera.log

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_FOPN
-------\LEGACY_VSPF
-------\LEGACY_VSPF_HK
-------\FOPN
-------\vspf
-------\vspf_hk

((((((((((((((((((((((( Dateien erstellt von 2007-09-27 bis 2007-10-27 ))))))))))))))))))))))))))))))
.

2007-10-27 20:15 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-27 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\+++ich+++ Admin\Anwendungsdaten\Winamp
2007-10-27 14:17 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-10-27 14:17 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-10-27 14:17 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-10-27 14:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2007-10-25 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\+++ich+++\Anwendungsdaten\Apple Computer
2007-10-25 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\+++ich+++ Admin\Anwendungsdaten\Apple Computer
2007-10-25 18:58 <DIR> d-------- C:\Programme\Apple Software Update
2007-10-22 18:52 <DIR> d-------- C:\Programme\Word 2 TXT 1
2007-10-18 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\+++ich+++\Anwendungsdaten\OpenOffice.org2
2007-10-16 17:27 <DIR> d-------- C:\Dokumente und Einstellungen\+++ich+++\Anwendungsdaten\winpt
2007-10-14 21:48 <DIR> d-------- C:\Dokumente und Einstellungen\+++ich+++ Admin\Anwendungsdaten\winpt
2007-10-14 21:42 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\gnupg
2007-10-14 20:05 <DIR> d-------- C:\Dokumente und Einstellungen\+++ich+++\Anwendungsdaten\gnupg
2007-10-14 19:54 <DIR> d-------- C:\Dokumente und Einstellungen\+++ich+++ Admin\Anwendungsdaten\gnupg
2007-10-10 18:36 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-09 19:20 73,216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2007-10-09 18:28 <DIR> d-------- C:\Dokumente und Einstellungen\+++ich+++ Admin\Anwendungsdaten\OpenOffice.org2
2007-10-09 18:24 <DIR> d-------- C:\Programme\OpenOffice.org 2.2
2007-10-09 18:17 <DIR> d-------- C:\Dokumente und Einstellungen\+++ich+++ Admin\Anwendungsdaten\WordToPDF
2007-10-09 17:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2007-10-09 17:28 <DIR> d-------- C:\Programme\FreePDF_XP
2007-10-09 17:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\FreePDF
2007-10-09 17:28 116,224 --a------ C:\WINDOWS\system32\redmonnt.dll
2007-10-09 17:28 45,056 --a------ C:\WINDOWS\system32\unredmon.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-27 18:06 --------- d-----w C:\Dokumente und Einstellungen\+++ich+++ Admin\Anwendungsdaten\AVG7
2007-10-25 22:30 --------- d-----w C:\Dokumente und Einstellungen\+++ich+++\Anwendungsdaten\AVG7
2007-10-09 16:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-09 15:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-10-05 21:41 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2007-09-18 12:41 --------- d-----w C:\Programme\a-squared Anti-Malware
2007-09-16 21:34 --------- d-----w C:\Dokumente und Einstellungen\+++ich+++\Anwendungsdaten\Thunderbird
2007-09-16 21:34 --------- d-----w C:\Dokumente und Einstellungen\+++ich+++\Anwendungsdaten\Talkback
2007-09-12 09:37 --------- d-----w C:\Programme\Acrobat 7.0
2007-09-12 09:28 --------- d-----w C:\Dokumente und Einstellungen\+++ich+++ Admin\Anwendungsdaten\Talkback
2007-09-12 09:27 --------- d-----w C:\Dokumente und Einstellungen\+++ich+++ Admin\Anwendungsdaten\Thunderbird
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2007-10-22 18:07]
"AVG7_EMC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe" [2007-10-22 18:07]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 10:49]
"SmcService"="D:\Sygate\SPF\smc.exe" [2004-02-24 16:35]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 02:12]
"SunJavaUpdateSched"="D:\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"WinampAgent"="D:\Winamp\winampa.exe" [2007-10-10 07:28]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 00:58]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]

S2 DirMngr;DirMngr;"D:\GNU\GnuPG\dirmngr.exe" --service
S2 drhard;drhard;C:\WINDOWS\system32\drivers\drhard.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8bf7ae69-767a-11dc-a230-00b0d0224e7c}]
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSI.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7845f5e-31c8-11db-a0ca-00b0d0224e7c}]
1\Command - .\RECYCLER\RECYCLER\autorun.exe
2\Command - .\RECYCLER\RECYCLER\autorun.exe
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\RECYCLER\RECYCLER\autorun.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-10-25 16:58:52 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-27 20:22:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-27 20:23:28 - machine was rebooted
.
--- E O F ---

Nachfolgend der rapport von SmitFraudFix:
Habe die ersten 3 Ziffern des hosts anonymisiert.

SmitFraudFix v2.242

Scan done at 20:27:28,78, 27.10.2007
Run from D:\HiJackThis\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
anonym.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» DNS
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End

Was meint Ihr dazu? Wo liegt noch der Fehler?
Wie kann ich die Trojaner sonst beseitigen?
Schöne Grüße und VIEL Dank im Voraus!

nochdigger · 27.10.2007, 23:59

Hallo

also diese Meldung

Zitat:

Herkunft des Virusproblems (Name und Ort) von solch einer Datei:
C:\System Volume Information\_restore{4DA34BB0-F856-4252-B77B-93779BC0D082}\RP34\A0025254.exe

bekommst du nicht mehr

Zitat:

Habe mit beiden Virenprogrammen upgedated und dann durchsucht - nichts gefunden.

hab ich das richtig verstanden?

Zitat:

Die Systemwiederherstellung hat sich von selbst aktiviert (d.h. das Häkchen war nicht mehr angekreuzt.

Um sie zu deaktivieren sollte das Häkchen gesetzt werden.
Nach einem neustart kann dann das Häkchen wieder entfernt werden.

Lade dir den CCleaner runter -> CCleaner Download

- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

MFG

08-15 · 28.10.2007, 18:19

Hallo an alle!
Sei gegrüßt nochdigger!

Zitat:

Zitat von nochdigger

Hallo

also diese Meldung

Zitat:
Herkunft des Virusproblems (Name und Ort) von solch einer Datei:
C:\System Volume Information\_restore{4DA34BB0-F856-4252-B77B-93779BC0D082}\RP34\A0025254.exe

bekommst du nicht mehr

Zitat:
Habe mit beiden Virenprogrammen upgedated und dann durchsucht - nichts gefunden.

hab ich das richtig verstanden?

Naja, nicht ganz - aber teilweise schon! Die Sache ist die:
Um etwa 23.15 Uhr - ich bin im Internet - macht der Avira AntiVir *piep* und der Avira AntiVir zeigt auf einmal "Virus gefunden oder ähnlich" und dann zeigt der Scanner 3, einen davon oben dargestellt - Trojaner/Virus an.

Das erste Mal habe ich für alle 3 "Zugriff verweigern" ausgewählt. Das zweite Mal "in Quarantäne verschieben" ausgewählt. Es war aber nichts in der Quarantäne.
Danach habe ich jeweils einen normalen Vollscan gemacht, aber nichts gefunden.
Den Ort, wo vom Guard von Avira AntiVir die Datei gefunden wurde, konnte ich in den Ereignissen nachlesen.

Habe nochmals ein HijackThis log gemacht und davor auch den Cleaner - bis zum vollkommen leermachen - vollzogen!

Hier mein neuer HijackThis log:
Natürlich die Systemwiederherrstellung deaktiviert!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:34:36, on 28.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\HiJackThis\ABCD.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] D:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVP] "D:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: D:\KASPER~2\KASPER~1.0\adialhk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: DirMngr - Unknown owner - D:\GNU\GnuPG\dirmngr.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Programme\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
--
End of file - 5631 bytes

Bin ich endgültig virusfrei/trojanerfrei oder möglicherweise nur vorerst?
Mit vielen Dank im Voraus!

nochdigger · 28.10.2007, 19:19

Hallo

die infizierten Wiederherstellungspunkte sollten gelöscht sein, ein Antivirenprogramm kann zwar die Systemwiederherstellung durchsuchen daraus löschen kann es nicht, dies gelingt nur durch deaktivieren der Systemwiederherstellung.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Ich fürchte aber, da steckt noch was im System

, hast du einen Wechseldatenträger USB Stick o.ä. in letzter Zeit verwendet und an fremden Rechnern gehabt?

MFG

08-15 · 28.10.2007, 20:27

1. Ja, in den letzten 30 Tagen hatte ich die eigenen als auch fremde USB-WDT an diesem PC! Wobei die eigenen USB-WDT waren auch auf fremden Geräten!

2. Ich hatte am USB auch einen Virus, namens AUTORUN.VIR
bzw. vor Umbenennung autorun.exe oder autorun.inf
... ein Virus oder unerwünschtes Programm DR/PcClient.Gen gefunden.
bzw.:
In der Datei 'G:\autorun.VIR' wurde ein Virus oder unerwünschtes Programm [TR/Agent.amp] gefunden.
Aber den am USB befindlichen Virus konnte ich mit Avira AntiVir - bisher anscheinend - erfolgreich löschen!

3. Außerdem hatte ich schon vor 2-3 Monat einen Virus/Trojaner - dachte dieses Problem wäre anscheinend behoben. Problembehandlung siehe
http://www.trojaner-board.de/41723-p...ear#post284965
Deswegen habe ich auch vor Fragestellung einiges versucht und getan!

4. Frage: Kann/darf man die gesamten Inhalte von C:\WINDOWS\temp nicht einfach löschen?

Nachfolgend das Ergebnis der letzten 30 Tage (Rest rausgelöscht) des Filelist!
----- Root -----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E80A-B978

Verzeichnis von C:\

28.10.2007 18:53 9.943 ComboFix.txt
28.10.2007 17:37 1.610.612.736 pagefile.sys
28.10.2007 17:35 211 boot.ini
27.10.2007 19:29 1.289 rapport.txt
27.10.2007 19:23 6.738 ComboFix2.txt
09.10.2007 17:33 50.182 cibbrwinstall.log
06.08.2007 18:32 9.722 Bericht_SmitfraudFixPUNKTexe_AVSCAN-20070806-191507-E802CEC3.LOG
05.08.2007 23:50 2.113 rapport_Mo2.txt
05.08.2007 23:18 3.589 rapport_Mo1.txt
01.08.2007 23:49 1.457 unaerror.log
11.07.2007 10:25 17 log.txt
09.09.2006 12:22 16 UsageTrack.txt
11.08.2006 06:58 676 INSTALL.LOG
11.08.2006 06:07 12.308.261 AVG7QT.DAT
08.08.2006 16:01 47.564 NTDETECT.COM
08.08.2006 10:33 251.184 ntldr
08.08.2006 10:19 813.594 avg7db_f(2).dat
08.08.2006 10:15 11.921.905 avg7qt(2).dat
23.08.2001 13:00 4.952 bootfont.bin

19 Datei(en) 1.636.046.149 Bytes
0 Verzeichnis(se), 2.003.005.440 Bytes frei

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E80A-B978

Verzeichnis von C:\WINDOWS\system32

28.10.2007 14:24 311.604 perfh009.dat
28.10.2007 14:24 39.992 perfc009.dat
28.10.2007 14:24 316.594 perfh007.dat
28.10.2007 14:24 48.156 perfc007.dat
28.10.2007 14:24 723.744 PerfStringBackup.INI
27.10.2007 19:27 0 tmp.txt
27.10.2007 19:27 1.390 tmp.reg
27.10.2007 13:11 5.657 jupdate-1.6.0_03-b05.log
21.10.2007 16:24 2.206 wpa.dbl
09.10.2007 23:31 121.336 FNTCACHE.DAT
28.09.2007 06:19 18.089.592 MRT.exe
24.09.2007 22:31 69.632 javacpl.cpl
24.09.2007 22:31 139.264 javaws.exe
24.09.2007 21:30 135.168 javaw.exe
24.09.2007 21:30 135.168 java.exe
28.08.2007 23:01 249.852 TZLog.log
22.08.2007 14:13 664.576 wininet.dll

2122 Datei(en) 393.978.980 Bytes
0 Verzeichnis(se), 2.002.878.464 Bytes frei

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E80A-B978

Verzeichnis von C:\WINDOWS\Prefetch

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E80A-B978

Verzeichnis von C:\WINDOWS

28.10.2007 19:07 10.286 WindowsUpdate.log
28.10.2007 17:38 236 SchedLgU.Txt
28.10.2007 17:37 2.048 bootstat.dat
28.10.2007 17:35 253 SYSTEM.INI
28.10.2007 17:35 647 win.ini
22.10.2007 17:52 73.216 cadkasdeinst01.exe
20.10.2007 06:03 136.192 catchme.exe
13.10.2007 20:38 155 winamp.ini
11.07.2007 10:33 316.640 WMSysPr9.prx

61 Datei(en) 6.096.139 Bytes
0 Verzeichnis(se), 2.002.898.944 Bytes frei

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E80A-B978

Verzeichnis von C:\WINDOWS\tasks

28.10.2007 17:38 6 SA.DAT
25.10.2007 17:58 276 AppleSoftwareUpdate.job
23.08.2001 13:00 65 desktop.ini
3 Datei(en) 347 Bytes
0 Verzeichnis(se), 2.002.898.944 Bytes frei

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E80A-B978

Verzeichnis von C:\WINDOWS\temp

28.10.2007 20:00 8.192 cch~5bbe6a4233e.htp
28.10.2007 20:00 8.192 cch~5bbe6871160.htp
28.10.2007 19:56 8.192 cch~5978ff00c7d.htp
28.10.2007 19:56 8.192 cch~5978fbd3d70.htp
28.10.2007 19:45 8.192 cch~5249fbc49e7.htp
28.10.2007 19:45 8.192 cch~5249f67d1c5.htp
28.10.2007 19:45 8.192 cch~523fbdf6e87.htp
28.10.2007 19:45 8.192 cch~523fbc6fae8.htp
8 Datei(en) 65.536 Bytes
0 Verzeichnis(se), 2.002.898.944 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E80A-B978

Verzeichnis von C:\DOKUME~1\+++ich+++n+~2\LOKALE~1\Temp

28.10.2007 20:06 109.952 filelist.txt
28.10.2007 19:07 143 jusched.log
28.10.2007 19:02 16.384 ~DF301F.tmp
3 Datei(en) 126.479 Bytes
0 Verzeichnis(se), 2.002.898.944 Bytes frei

nochdigger · 29.10.2007, 16:46

Hallo

Zitat:

1. Ja, in den letzten 30 Tagen hatte ich die eigenen als auch fremde USB-WDT an diesem PC! Wobei die eigenen USB-WDT waren auch auf fremden Geräten!

Informiere die Leute bitte an deren Rechner der verseuchte Stick gesteckt hat, dass sie sich eventuell einen üblen Gesellen eingefangen haben.

Zitat:

2. Ich hatte am USB auch einen Virus, namens AUTORUN.VIR
bzw. vor Umbenennung autorun.exe oder autorun.inf
... ein Virus oder unerwünschtes Programm DR/PcClient.Gen gefunden.

Wenn ich dem nachgehe

--> F-Secure Malware Information Pages: Backdoor:W32/PcClient.YW

Zitat:

Summary
Backdoor:W32/PcClient.YW attempts to hide processes, files, and registry data. It allows the attacker to perform arbitrary actions on the infected machine. Backdoor:W32/PcClient.YW has a rootkit functionality and steals sensitive information from an infected computer.

und sehe was dieser Schädling kann/konnte, würde ich dazu neigen die Kiste neu aufzusetzen.

Zitat:

3. Außerdem hatte ich schon vor 2-3 Monat einen Virus/Trojaner - dachte dieses Problem wäre anscheinend behoben. Problembehandlung siehe
http://www.trojaner-board.de/41723-p...ear#post284965
Deswegen habe ich auch vor Fragestellung einiges versucht und getan!

Der sollte nun mit der Deaktivierung der Systemwiederherstellung in die ewigen Jagdgründe eingegangen sein.

Zitat:

4. Frage: Kann/darf man die gesamten Inhalte von C:\WINDOWS\temp nicht einfach löschen?

Klar, es sei denn du stehst auf ein zugemülltes System

.

Trotzdem bleibt meine Empfehlung deinen Rechner neu aufzusetzen und nach der Neuinstallation alle Pass- und Kennwörter zu ändern, da der Schädling auf deinen System wohl aktiv geworden ist.

Zitat:

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{b7845f5e-31c8-11db-a0ca-00b0d0224e7c}]
1\Command - .\RECYCLER\RECYCLER\autorun.exe
2\Command - .\RECYCLER\RECYCLER\autorun.exe
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\RECYCLER\RECYCLER\autorun.exe

Neuaufsetzen des Systems und anschliessende Absicherung!

MFG

08-15 · 29.10.2007, 18:05

Zitat:

Zitat von nochdigger

Zitat:
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{b7845f5e-31c8-11db-a0ca-00b0d0224e7c}]
1\Command - .\RECYCLER\RECYCLER\autorun.exe
2\Command - .\RECYCLER\RECYCLER\autorun.exe
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\RECYCLER\RECYCLER\autorun.exe

Hallo NOCHDIGGER!

Erst mal Danke für deine Ratschläge! Kann man die oben genannten 4 Zeilen nicht irgendwie löschen?

2. Darf ich - ohne Systemschäden oder dgl. die Recycler im Recycler Ordner einfach löschen?
3. Den HKEY wird man auch irgendie löschen können, oder? ev. mit HijackThis fixen?
4. Und den AutoRun command auch irgendwie?

Damit der PC vorübergehend noch 1-2 Wochen (sehr) relativ gefahrlos läuft!
Weil ich stehe derzeit sehr unter Zeitdruck. Und ich würde wahrscheinlich für die Neuaufsetzung des gesamten Systems mindestens 2 bis 3 Tage brauchen, bis ich alle Programme wieder so benutzerdefiniert eingestellt habe, wie derzeit!

Vielen Dank und einen schönen Tag wünscht dir
08-15

08-15 · 03.11.2007, 21:16

Kann mir niemand mehr weitere Anregungen und Hilfestellungen geben?
Weiß niemand mehr weiter?

Vielen Dank im voraus.
Grüße
08-15

Problem mit Trojaner/Spyware: TR/Dldr.Zlob.dwe

Log-Analyse und Auswertung: Problem mit Trojaner/Spyware: TR/Dldr.Zlob.dwe