Guten Tag liebes Trojaner-Board Team,

Nach einigen Monaten Ruhe muss ich mich leider wieder bei euch melden
Seit einiger Zeit stürzt mein Laptop wärend des surfens/arbeitens einfach aus mir unerklärlichen gründen ab!
Heute war es dann so weit: aus heiterem Himmel öfneten sich plötzlich mehrer Fenster von WinXDefender und Malware Crush mit der Nachricht dass mein Laptop infiziert ist. Ich hoffe dass sich da noch was machen lässt.
Anbei mein HijackThis Log-File, eScan folgt.
Ich bitte um Hilfe, und danke im vorraus!

mfg

Logfile of HijackThis v1.99.1
Scan saved at 02:35:53, on 28.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MalwareCrush\MalwareCrush.exe
C:\Programme\MalwareCrush\MalwareCrush.exe
C:\Programme\WinXDefender\WinXDefender.exe
C:\WINDOWS\lsass.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.helles-koepfchen.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Programme\Helper\Helper10.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Winupdate Engine] C:\WINDOWS\system32\wupeng.exe
O4 - HKLM\..\Run: [MalwareCrush] C:\Programme\MalwareCrush\MalwareCrush.exe /h
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WinXDefender] C:\Programme\WinXDefender\WinXDefender.exe
O4 - HKCU\..\Run: [diskmgr.exe] diskmgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://xscan.malwarecrush.com/install448.cab
O16 - DPF: {D1548A26-B8F6-4E86-AE74-E7062CCC2E2A} (igLoader Content on Demand) - http://www.miniclip.com/igloader/igloader.CAB
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Tut mir leid dass es etwas länger gedauert hat, aber ich habe den eScan schon seit einiger Zeit nicht mehr gemacht:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.6.8
Sprache: German
Virus-Datenbank Datum: 1/27/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "ad-protect rogue antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "rootkit.win32.agent.p Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with unknown trojan Unclassified ({f10587e9-0e47-4cbe-84ae-7dd20b8684bb})! Action taken: Keine Aktion vorgenommen.
System found infected with unknown trojan Unclassified ({f10587e9-0e47-4cbe-84ae-7dd20b8684bb})! Action taken: Keine Aktion vorgenommen.
System found infected with expertantivirus Corrupted Adware/Spyware ({9da1990b-9bca-4c80-aefb-11a40fa849f9})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({c628512d-a058-4bd4-b47b-b036f45fa02b})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({32bd20fd-41fd-47fb-9bc9-28dcbd7d55d7})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({214345b8-bb69-498d-a168-29f58f15d806})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({d2c1986a-fbec-4472-aabf-6d42f08dbc8e})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({f51bc478-d997-4c56-988d-79d9eeaad1ec})! Action taken: Keine Aktion vorgenommen.
System found infected with contravirus Corrupted Adware/Spyware ({fd4dcb8b-c33a-4e70-a351-6fab7e1071a4})! Action taken: Keine Aktion vorgenommen.
System found infected with expertantivirus Corrupted Adware/Spyware ({9da1990b-9bca-4c80-aefb-11a40fa849f9})! Action taken: Keine Aktion vorgenommen.
System found infected with spyshield Adware ({c628512d-a058-4bd4-b47b-b036f45fa02b})! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with antispycheck Spyware/Adware (hkey_local_machine\software\classes\appid\spamdet.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with rootkit.win32.agent.p Trojan-Downloader (C:\WINDOWS\lsass.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\run//lsass)! Action taken: Keine Aktion vorgenommen.
System found infected with antispycheck Spyware/Adware (hkey_current_user\software\microsoft\office\outlook\addins\ad-protect.addin.1)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\DOKUME~1\User\LOKALE~1\TEMPOR~1\Content.IE5\3LZJ2GHW\0[1].htm infiziert von "Trojan.HTML.Agent.e" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3LZJ2GHW\0[1].htm infiziert von "Trojan.HTML.Agent.e" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\User\mwavscan.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Programme\MalwareCrush\MalwareCrush.exe//Armadillo markiert als "not-a-virus:FraudTool.Win32.MalwareCrush.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\User\LOKALE~1\Temp\000ae48a.exe//data0006//Armadillo markiert als "not-a-virus:FraudTool.Win32.MalwareCrush.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\User\LOKALE~1\Temp\37223.exe//data0006//Armadillo markiert als "not-a-virus:FraudTool.Win32.MalwareCrush.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\avenger\backup-13.11.2007- 2.43.51,39.zip/avenger/ContraVirus/cvantispam.dll//Armadillo markiert als "not-virus:Hoax.Win32.Renos.vg". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\000ae48a.exe//data0006//Armadillo markiert als "not-a-virus:FraudTool.Win32.MalwareCrush.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\37223.exe//data0006//Armadillo markiert als "not-a-virus:FraudTool.Win32.MalwareCrush.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\MalwareCrush\MalwareCrush.exe//Armadillo markiert als "not-a-virus:FraudTool.Win32.MalwareCrush.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~

Guten Morgen,

Zitat:

Zitat von bio-fan

Heute war es dann so weit: aus heiterem Himmel öfneten sich plötzlich mehrer Fenster von WinXDefender und Malware Crush mit der Nachricht dass mein Laptop infiziert ist.

Na so unrecht hat er da nicht!

Zwar glaube ich nicht, das dass Programm die vorhandene Infektion gefunden/erkannt hat aber Dein System ist definitiv mit einem Backdoor Infiziert!

Zitat:

Zitat von bio-fan

C:\WINDOWS\lsass.exe

Folge der Anleitung zum Neuaufsetzen in meiner SIG!
Alles andere ist grob Fahrlässig und nicht zu verantworten!


Gruß Mello

Hi,

lösche alle Temp-Dateien, die EScan angezeigt hat;

---Doppelpost, nur weiter machen wenn noch Daten zu retten sind ---
---sonst folge bitte dem Rat von Mellosun ---

Danach bitte:

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\lsass.exe
C:\Programme\Helper\Helper10.dll
C:\WINDOWS\system32\wupeng.exe
C:\WINDOWS\diskmgr.exe
oder
C:\WINDOWS\system32\diskmgr.exe

VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste mit Filename!

Also (alles bis auf die diskmgr):
Avenger
avenger.zip - The Avenger
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Winupdate Engine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|lsass

Files to delete:
C:\WINDOWS\lsass.exe
C:\Programme\Helper\Helper10.dll
C:\WINDOWS\system32\wupeng.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat:

O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Programme\Helper\Helper10.dll
O4 - HKLM\..\Run: [Winupdate Engine] C:\WINDOWS\system32\wupeng.exe
O4 - HKCU\..\Run: [diskmgr.exe] diskmgr.exe

Danach scan mit Dr. WEb und ein neues HJ-Log posten!
Anleitung: DrWeb.Cureit
Aber bitte den Download von hier nutzen Dr.Web CureIt! findet und beseitigt

Chris

Hallo,

vielen dank für die schnelle Antwort.
Ich habe mir wirklich große Mühe gegeben die Anleitung zum Neuaufsetzten zu checken, aber irgendwie blick ich nicht durch.
Gibt es nicht eventuell einen Link für Laien???

moin,
Du willst dir also ein jungfräuliches Sys zulegen.
Was verstehst du denn bei der Anleitung nicht?

Hi TrojanHunter,

naja... es fängt schon damit an, dass ich es nicht schaffe die Partitionen der Festplatte zu löschen.

Hast du eine Original Windows CD?
Wenn ja von dieser booten,
Neuinstallation wählen
Partionierung durchführen
Installieren

Oder hast du nur eine Recovery CD?
Oft liegt auch eine versteckte Partition vor, auf die du mit einer bestimmten Tastenkombination beim Booten zugreifen kannst und von dort aus dein System in den Auslieferungszustand zurücksetzen kannnst. ( Handbuch checken)

Okey, danke... das hilft mir erstmal weiter.
Eine Frage hätte ich aber noch: Wichtige Daten von z.B. Onlinebanking etc. sind auf dem Rechner nicht vorhanden... aber wie schaut es mit Familien-Fotos und anderen Dateien auf dem Laptop aus die nicht verlieren möchte, kann ich versuchen die noch zu überspielen, oder besteht das Risiko dass das Virus irgendwie "mitkopiert" wird?
Besteht für andere Rechner die am gleichen Netzwerk hängen erhöhtes Risiko, denn bis jetzt läuft der Rest ganz normal!?

Also Bilder dürften normal nicht von dem Virusbefallen sein.
Nur keine exe kopieren und auch word Dokumente können mit einem Makrovirus infiziert sein.

Hat sich jemand über einen Backdoor Zugriff auf deinen Rechner verschafft, kann er natürlich auch versuchen sich Zugriff auf die anderen Rechner im Netzwerk zu verschaffen.