Hallo!

Ich habe ein riesiges Problem mit meinem Rechner!!! Bitte helft mir...

Hier das Log-File von HJT:

Logfile of HijackThis v1.99.1
Scan saved at 17:36:41, on 03.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Delux\PS2 Keyboard English Edition 2.0\kb_2k.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://shell.windows.com/fileassoc/fileassoc.asp?LangID=0407&Ext=jpg
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: PS2 Keyboard English Edition 2.0.lnk = ?
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJfox000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) - h**p://srvffcbln-dc01/ConnectComputer/nshelp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143026356160
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143026420223
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ffc-zentrale.ffc-event.de
O17 - HKLM\Software\..\Telephony: DomainName = ffc-zentrale.ffc-event.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ffc-zentrale.ffc-event.de
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)
O23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)

Mein Virenscanner schlägt totalen Alarm! Er hat mehrere verschiedene Trojaner gefunden! Bericht angehängt...


Vielen Dank im Voraus für die Hilfe!

LG

Mein Antivirenprogramm hat Kahlschlag betrieben: Jetzt habe ich nochmals mit AVG Free Edition v7.5.503 gescannt...Was dabei rausgekommen ist: Im Anhang!
Muss ich mir jetzt trotzdem weiterhin Sorgen machen oder sind diese Meldungen unbedenklich?

Freue mich über Antwort!

LG

Hi,

also die Veränderung von vier Systemdateien, darunter der Kernel von Windows, sollte schon ein Grund zu ernster Sorge sein. Du solltest zu diesen Dateien mal die MD5- und SHA1-werte ermitteln, das sind Prüfsummen, anhand deren man ermitteln kann, ob sie wirklich verändert wurden oder ob es vielleicht auch eine Falschmeldung ist. eine dünne Möglichkeit wäre auch noch, dass ihre Abbilder im Speicher gepatcht sind, das kann gute und schlechte Gründe haben. Jetzt geht es aber erstmal um die Dateien auf der Festplatte.

Wenn Du kein Tool hast, um die Prüfsummen zu ermitteln, dann lass die Dateien bei VirusTotal scannen, zusammen mit den Scanergebnissen werden auch die Prüfsummen angezeigt.

Außerdem wäre es gut gewesen, wenn die Informationen deines ersten Screenshots vollständig sind, die Dateinamen fehlen jeweils, da die Spalten zu schmal sind. Kann dieser Scanner nicht auch ein Log im Textformat erzeugen? Da stehen schon einige Sachen drin, die sehr ernst sind. Mehrere Backdoors, dazu Virut, ein Virus der alle EXE-Dateien eine sSystems infiziert und außerdem auch noch ein Netzwerkwurm und eine Backdoor ist.

Gruß, Karl

Danke für Deine schnelle Antwort! Ein Logfile in Textform vom Virenscan habe ich nicht gefunden...Ist es denn wahrscheinlich, dass diese hässlichen Dinger noch immer auf meinem Rechner rumlungern?

Hier die Daten vom Scan bei VirusTotal:

Scan von kernel32.dll:
File size: 1058304 bytes
MD5: 8eea8280a1e0e794edfccad3721c7cab
SHA1: fc0460baa69f17dabc752ef5995c98866062cfc2
PEiD: -

Scan von user32.dll:
File size: 579072 bytes
MD5: 492e166cfd26a50fb9160db536ff7d2b
SHA1: 8f63f79cf097750fdca0caa2f816d6b7587167c1
PEiD: -

Scan von shell32.dll:
File size: 8495616 bytes
MD5: f49209a27f4987ce58168f8ec4e93e17
SHA1: f6d2b36a7135d03ad24dfd1e45b80745b23e5f00
PEiD: -

Scan von ntoskrnl.exe:
File size: 2182656 bytes
MD5: 2804b72eb675cd43df7994ae4685b894
SHA1: 4537f42e7cc05b5ed9c2e8f89177e6f4465c968d
PEiD: -


LG

Alle MD5-Werte habe ich in Datenbanken gefunden, dort werden sie originalen Microsoft-Dateien zugeordnet. MD5-Werte sind auch perfekte Suchbegriffe für Google, dabei bin ich über einige Threads gestolpert, in denen (teilweise zusammen mit anderen Sachen) genau das Problem auftaucht, dass AVG diese Dateien als verändert meldet.

http://www.trojaner-board.de/39864-a...che-hilfe.html
http://www.trojaner-board.de/40707-t...anschauen.html
http://www.trojaner-board.de/44076-t...uffaellig.html

Das Internet ist voll mit Berichten darüber, dass AVG Systemdateien als verändert bemängelt. Ich benutze diesen Scanner nicht, aber nach dem was ich gefunden habe, ermittelt er bei seiner Installation Prüfsummen für die Dateien und vergleicht in Zukunft mit diesen. Wenn in der Zwischenzeit diese Dateinen verändert wurden, dann stimmen die Prüfsummen natürlich nicht mehr und schon kommt es zu dieser Meldung.

Änderungen an den Dateien sind nicht automatisch schädlich, auch bei Windowsupdates werden sie bedarfsweise ausgetuascht. Als eine weitere Ursache für veränderte Systemdateien werden im Netz auch Tuneup Utitlities genannt. Ich bin da etwas skeptisch ob das stimmt, denn das wäre schon eine heftige Nummer, wenn die wesentliche Systemdateien verändern, will es aber mal erwähnen. Änderungen der Dateien von anderer Seite als Microsoft sehe ich als schädlich an.

Die meisten Systemdateien werden von Microsoft mit einer digitalen Signatur versehen, die bei einer Veränderung der Datei ungültig wird und sich auch nicht fälschen lässt, da dazu geheime Schlüssel erforderlich sind (die hoffentlich nur Microsoft kennt). Ein kleines Programm zur Überprüfung dieser Signaturen ist Sysinternals Sigcheck.

Oh, das beruhigt mich erstmal...Vielen lieben Dank für Deine Mühe...Ansonsten scheint nun auch alles ruhig zu sein. Denkst Du, dass das Problem damit fürs Erste behoben ist? Bin n totaler Noob...

Vielen Dank nochmals!

LG

Möchte aber noch darauf hinweisen, dass ich mich ausschließlich auf die Sache mit dne veränderten Dateien bezogen habe. Zu deinen anderen Funden, die Du hattest, kann ich nichts sagen (was z.B. an wieteren Überprüfungen sinnvoll wäre), da einfach zuwenig Informationen über sie vorliegen. Wenn es mit AVG nicht möglich ist, ein normales Textlog zu erhalten, dann sehe ich das als einen wesentlichen Mangel an dem Programm an. Der Screenshot ist nicht vollständig erkennbar und normalerweise hat auch niemand Lust, einen Screenshot abzutippen. Im Text kann man markieren, kopieren und einfügen.

Na da bin ich auch froh denn die shell32.dll wurde bei mir auch immer angezeigt