Hi,

das Log sieht gut aus, ich nehme an, Du hast Avenger durchlaufen lassen;
Zur Sicherheit noch ein Rootkitscann mit Gmer: (http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html), poste das Log von Gmer...

Und noch zusätzlich Dr. Web:
Anleitung: Anleitung: DrWeb - CureIt - Anleitung
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de
Poste auch dieses Log!

Du solltest unbedingt Deine Passwörter (lokal wie im Internet ändern)!

chris

Das Gmer-Log:

GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2007-11-20 11:55:02
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT F9BD235C ZwCreateThread
SSDT F9BD2348 ZwOpenProcess
SSDT F9BD234D ZwOpenThread
SSDT F9BD2357 ZwTerminateProcess
SSDT F9BD2352 ZwWriteVirtualMemory

---- User code sections - GMER 1.0.12 ----

.text C:\Programme\Internet Explorer\iexplore.exe[1308] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 444DF2C1 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[1308] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 4467030F C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[1308] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 44670290 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[1308] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 446702D4 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[1308] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 4467021C C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[1308] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 44670256 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[1308] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 4467034A C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[1308] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 44501676 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\MSN Messenger\msnmsgr.exe[1760] kernel32.dll!SetUnhandledExceptionFilter 7C84467D 5 Bytes JMP 004DE392 C:\Programme\MSN Messenger\MsnMsgr.Exe

---- Files - GMER 1.0.12 ----

ADS C:\Dokumente und Einstellungen\++\Favoriten\Kids\Grand Homepage Listing.url:favicon
ADS C:\Dokumente und Einstellungen\++\Favoriten\Kids\Meghan.url:favicon
ADS C:\Dokumente und Einstellungen\++\Favoriten\Kids\Paige.url:favicon
ADS C:\Dokumente und Einstellungen\++\Favoriten\Links\Google Mail.url:favicon
ADS C:\Dokumente und Einstellungen\++\Favoriten\Privat\LoD.url:favicon
ADS C:\RECYCLER\S-1-5-21-3029731573-2547152888-2716612022-1112\Dc1.ttf:SummaryInformation
ADS C:\RECYCLER\S-1-5-21-3029731573-2547152888-2716612022-1112\Dc1.ttf:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\RECYCLER\S-1-5-21-3029731573-2547152888-2716612022-1112\Dc3.ttf:SummaryInformation
ADS C:\RECYCLER\S-1-5-21-3029731573-2547152888-2716612022-1112\Dc3.ttf:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}

---- EOF - GMER 1.0.12 ----

to be continued...

Hallo.

Dr. Web hat ein infiziertes Objekt gefunden. Reicht es, wenn ich dir das poste? Die Log-Datei ist nämlich immens lang und würde den Rahmen wohl ein bisschen sprengen...

Hier das infizierte Objekt:

Zitat:

C:\System Volume Information\_restore{42AF4497-3B62-4089-9178-AC02532BA2C9}\RP3\A0000092.exe infiziert mit Trojan.Proxy.2071 - gelöscht

Und die letzte Anzeige von Antivir VOR den beiden Scans lautete:

Zitat:

In der Datei 'C:\System Volume Information\_restore{42AF4497-3B62-4089-9178-AC02532BA2C9}\RP3\A0000092.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [TR/Crypt.XPACK.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Hi,

das hier ist ungewöhnlich:
(gmer)
C:\WINDOWS\system32\IEFRAME.dll

Bitte lass die Datei online prüfen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

So, die Systemwiederherstellung muß noch bereinigt werden:
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Der Rest von Dr. Web sind wahrscheinlich Cookies, oder?

Chris

Hier schonmal die Auswertung von virustotal:

Datei ieframe.dll empfangen 2007.11.20 13:37:17 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 6.
Geschätzte Startzeit is zwischen 56 und 80 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.20.1 2007.11.20 -
AntiVir 7.6.0.34 2007.11.20 -
Authentium 4.93.8 2007.11.20 -
Avast 4.7.1074.0 2007.11.19 -
AVG 7.5.0.503 2007.11.20 -
BitDefender 7.2 2007.11.20 -
CAT-QuickHeal 9.00 2007.11.20 -
ClamAV 0.91.2 2007.11.20 -
DrWeb 4.44.0.09170 2007.11.20 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.3.5311 2007.11.20 -
Ewido 4.0 2007.11.19 -
FileAdvisor 1 2007.11.20 -
Fortinet 3.11.0.0 2007.11.20 -
F-Prot 4.4.2.54 2007.11.19 -
F-Secure 6.70.13030.0 2007.11.20 -
Ikarus T3.1.1.12 2007.11.20 -
Kaspersky 7.0.0.125 2007.11.20 -
McAfee 5166 2007.11.19 -
Microsoft 1.3007 2007.11.20 -
NOD32v2 2672 2007.11.20 -
Norman 5.80.02 2007.11.19 -
Panda 9.0.0.4 2007.11.20 -
Prevx1 V2 2007.11.20 -
Rising 20.19.10.00 2007.11.20 -
Sophos 4.23.0 2007.11.20 -
Sunbelt 2.2.907.0 2007.11.20 -
Symantec 10 2007.11.20 -
TheHacker 6.2.9.134 2007.11.19 -
VBA32 3.12.2.5 2007.11.19 -
VirusBuster 4.3.26:9 2007.11.19 -
Webwasher-Gateway 6.0.1 2007.11.20 -
weitere Informationen
File size: 6058496 bytes
MD5: 3311624f8c26a7675c998331e8d2bb43
SHA1: 4cf4dda34f945c5c7afc644325ee1531026f0bd9

Ist also wohl nix gefährliches.

Der Link bezüglich der Systemwiederherstellung ist nur zu Info, nicht wahr? Ansonsten folge ich einfach deiner Anleitung.

Gruß und VIELEN VIELEN DANK!!!
Gerrit.

So, Systemwiederherstellung habe ich auch bereinigt.

Sollte ich jetzt Antivir nochmal durchlaufen lassen? Im abgesicherten Modus? Oder noch irgendetwas anderes?

Hi,

ja, lass noch mal Antivir laufen, und zwar mit diesen Einstellungen (da werden durch die Heuristik zwar einige Fehlalarme kommen)...

Stelle Avira wie folgt ein: Antivir und die Heuristik, die aggressive Variante - Virus Hilfe
Führe einen Systemscan durch und poste das Ergebnis!

Chris

Ps.: Bin morgen unterwegs und daher nicht erreichbar...

Guten Morgen!

Antivir ist durchgelaufen und hat nix gefunden, außer den Avenger, der wohl ein Fehlalarm sein dürfte. Report sieht so aus:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 21. November 2007 08:25

Es wird nach 938250 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 000014++++-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: +++

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 14:26:55
ANTIVIR2.VDF : 7.0.0.198 1206272 Bytes 11.11.2007 07:12:45
ANTIVIR3.VDF : 7.0.0.241 179712 Bytes 21.11.2007 07:13:31
AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 09.11.2007 09:34:09
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 21. November 2007 08:25

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KSTART32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '26' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '21' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\++\Eigene Dateien\Meine empfangenen Dateien\Sonstige Programme\avenger.zip
[0] Archivtyp: ZIP
--> avenger.exe
[FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a8e006.qua' verschoben!
C:\Dokumente und Einstellungen\++\Eigene Dateien\Meine empfangenen Dateien\Sonstige Programme\avenger\avenger.exe
[FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a8e03d.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 21. November 2007 08:57
Benötigte Zeit: 31:17 min

Der Suchlauf wurde vollständig durchgeführt.

3538 Verzeichnisse wurden überprüft
192235 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
192233 Dateien ohne Befall
919 Archive wurden durchsucht
1 Warnungen
0 Hinweise

Gruß,
Gerrit.

Nachdem ich nun einen netten Anruf von meiner Bank erhalten habe, dass mein Online-Banking gesperrt ist, da das Rechenzentrum einen Trojaner auf meinem Rechner festgestellt hat, werde ich nun doch das System neu aufsetzen lassen. Sicher ist sicher, das ist mir einfach zu heikel. Aber trotzdem vielen Dank, denn jetzt kann ich immerhin etwas beruhigter die ein oder andere Datei retten.

Hi,

ja das dürfte die ntos.exe, audio- und video.dll gewesen sein, Backdoor mit Spionagefunktionalität (Passwort klau).

Zitat:

Bitte daran denken, auch sonst alle Passwörter unbedingt ÄNDERN (Ebay, Mail-Accounts etc.!)

chris