Hallo zusammen,
erstmal großartig das es dieses Forum hier gibt und Ihr eure Freizeit opfert um verzweifelten Usern zu helfen.
Ich habe das Notebook vom Kollegen hier, es war mit diversen Trojanern verseucht.
Die Platte war voll mit pos...tmp dateien.
Es waren auch storageprotector.com verknüpfungen auf den Desktop vorhanden. Habe bereits hier einiges zu lesen können und auch die cleaning tools dafür angewendet.
Jetzt würde mich noch interessieren was das Logfile noch verbirgt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:25, on 2008-02-16
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Network Monitor\netmon.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe
D:\WINDOWS\system32\LVCOMSX.EXE
D:\Programme\Logitech\Video\LogiTray.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Dokumente und Einstellungen\xxx\Anwendungsdaten\?ystem32\?vchost.exe
D:\Programme\Logitech\Video\FxSvr2.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.web.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {3E76D15A-4D84-4793-83CF-DF026942E320} - D:\Programme\Windows Media Player\xudi89104.dll
O2 - BHO: (no name) - {463BBEB2-5800-70AD-5113-5E00CEBADB9C} - D:\WINDOWS\system32\umimvm.dll
O2 - BHO: (no name) - {473BBEC2-5807-77AB-5165-5D00BDBADB9F} - D:\WINDOWS\system32\umimvm.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AS00_Gear511] D:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe -hide
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] D:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Aeip] "D:\DOKUME~1\xxx\ANWEND~1\SKS~1\regedit.exe" -vt yazb
O4 - HKCU\..\Run: [Jokiwnqe] "D:\Dokumente und Einstellungen\klein\Anwendungsdaten\?ystem32\?vchost.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Command Service (cmdService) - Unknown owner - D:\WINDOWS\S2xlaW4\command.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - D:\Programme\Network Monitor\netmon.exe

--
End of file - 5012 bytes

Auf den Rechner war Home-Edition drauf, habe XP-Prof nachinstalliert. Da sich der Rechner nicht mehr starten ließ habe ich mir so erstmal geholfen um zu sehen was das los ist.

Thx for help...
greetz

Halli hallo.

Update den Interne Explorer bitte auf Version 7!


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

D:\Programme\Network Monitor\netmon.exe

D:\Programme\Windows Media Player\xudi89104.dll

D:\WINDOWS\system32\umimvm.dll

D:\WINDOWS\S2xlaW4\command.exe

D:\DOKUME~1\xxx\ANWEND~1\SKS~1\regedit.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Habe ja jetzt zwei OS zur Auswahl, hier der Scan von der zweiten Part.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:02:07, on 16.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\slserv.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 2179 bytes

Hallo,
der Rechner hat keinen Internetzugang, ist ja nicht meiner.
Habe auch kein Lan-Kabel zur Verfügung das ich den mal eben am Router stecken könnte. Ich selber schreibe auf meinen eigenen Läppi der hat Wireless Lan. Das Book vom Kollegen hat keinen integrierten WL-Adapter, er nutzt eine PCMCIA Karte, die habe ich nicht dabei.

Hallo,
habe versucht die genannten dateien auf den Stick zu schieben um dann die Prüfung vornehmen zu lassen.
Bei der Suche danach hat mir Antivir die dlls als verseucht gemaldet, die ich dann sofort gelöscht habe. Die command.exe und die regedit.exe wurden in den genannten ordnern nicht gefunden.
Die netmon.exe habe ich zum prüfen hochgeladen, hier das Ergebnis:

MD5: 32760839e42cc4e151a82bc4d89b02de
Datum 2008.02.12 10:07:13 (CET) [>4D]
Ergebnisse 28/32
Permalink: analisis/ec4c7c2f892ea3f8616b048e7d4c5805

Selbst-Edit aufgrund falscher anweisung.

hier noch was zu der netmon.exe:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.12.12 2008.02.12 Win-AppCare/Xema.94208.B
AntiVir 7.6.0.62 2008.02.12 -
Authentium 4.93.8 2008.02.11 -
Avast 4.7.1098.0 2008.02.11 Win32:Adware-gen
AVG 7.5.0.516 2008.02.11 Adware Generic.KGZ
BitDefender 7.2 2008.02.12 Adware.CommAd.A
CAT-QuickHeal None 2008.02.11 Monitor.NetMon.a (Not a Virus)
ClamAV 0.92 2008.02.12 Trojan.DNSChanger-45
DrWeb 4.44.0.09170 2008.02.11 Trojan.DnsChange
eSafe 7.0.15.0 2008.02.11 Spyware.Gen
eTrust-Vet 31.3.5530 2008.02.12 Win32/NetMon.A
Ewido 4.0 2008.02.11 Not-A-Virus.Monitor.Win32.NetMon.a
FileAdvisor 1 2008.02.12 High threat detected
Fortinet 3.14.0.0 2008.02.12 Adware/SearchAid
F-Prot 4.4.2.54 2008.02.11 W32/Monitor.YV
F-Secure 6.70.13260.0 2008.02.12 W32/NetMon.C
Ikarus T3.1.1.20 2008.02.12 not-a-virus:Monitor.Win32.NetMon.a
Kaspersky 7.0.0.125 2008.02.12 not-a-virus:Monitor.Win32.NetMon.a
McAfee 5227 2008.02.11 potentially unwanted program Tool-NetMon
Microsoft 1.3204 2008.02.11 TrojanDownloader:Win32/Monnet
NOD32v2 2866 2008.02.11 Win32/Monitor.Netmon.A
Norman 5.80.02 2008.02.11 W32/NetMon.C
Panda 9.0.0.4 2008.02.11 Adware/SearchAid
Prevx1 V2 2008.02.12 Generic.Malware
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.12 Netmon
Sunbelt 2.2.907.0 2008.02.12 Backdoor.Win32.NetMon
Symantec 10 2008.02.12 Spyware.ISearch
TheHacker 6.2.9.217 2008.02.11 Aplicacion/NetMon.a
VBA32 3.12.6.0 2008.02.11 -
VirusBuster 4.3.26:9 2008.02.11 Adware.NetMon.A
Webwasher-Gateway 6.6.2 2008.02.12 Riskware.NetMon.A
weitere Informationen
File size: 94208 bytes
MD5: 32760839e42cc4e151a82bc4d89b02de
SHA1: 482eaa8fa42fade4d901aab41b7a6f98e1136070
PEiD: -
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=32760839e42cc4e151a82bc4d89b02de
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=0777402B00DF51ED70D901637CD28B00E54E2415
Sunbelt info: Backdoor.Win32.NetMon is a trojan downloader that contacts remote servers to download and install additonal software, adware or malware, without notice and consent. It creates a backdoor on the infected machine.

kann ich die löschen?

Anleitung SuperAntiSpyware

-Downloade SuperAntiSpyware:




-Melde dich mit Administrator-Rechten an und installiere das Programm für alle Benutzer.

-Nach der Installation wirst du gefragt ob du die Schädlings-Definitionen sofort auf den neuesten Stand bringen möchtest. -> Klicke auf Ja.
=> Das Update wird daraufhin ausgeführt.

-Im Hauptfenster des Programmes finden sich verschiedene Funktionen:



1. Solltest du überprüfen ob auch wirklich die aktuellen Signaturen vorliegen. Klicke dazu auf den Button Check for Updates... => Der Download wird durchgeführt und du wirst anschließend informiert, dass die Definitionen aktuell sind. Mit Klick auf OK gelangst du wieder in das Hauptfenster.



2. Musst du einige Einstellungen ändern. Öffne hierzu die Einstellungen mit einem Klick auf den Preferences...Button.
Wähle den Reiter Scanning Control aus und setzte die grünen Haken wie im Bild gezeigt wird.
Mit einem Klick auf Close gelangst du wieder in das Hauptfenster.





3. Durch einen Klick auf den Button Scan your Computer gelangst du in die Scanner-Bereich.
Als erstes wählst du bitte unter Scan Location alle deine Festplatten aus und markierst sie mit einem grünen Haken.
Danach setzte den grünen Punkt bei Perform Complete Scan.



Mit einem Klick auf Weiter startest du den Scan.
Warte nun bis Scan beendet ist. Während dieser Zeit sollten keine anderen Arbeiten am Computer ausgeführt werden!



Nachdem der Scan beendet ist wirst du über evtl. Funde informiert. Du hast außerdem die Möglichkeit weitere Informationen über die markierten Objekte auf der Website des Herstellers ab zu fragen.

Wechsel wieder in das Hauptfenster und öffne die Preferences. Dort wähle den Reiter Statistics/Logs und markiere das letzte logFile.
Durch drücken des Buttons View Log... öffnet sich ein Text-Dokument. Den Inhalt dieses Dokuments markierst (Strg.+A) und kopierst (Strg.+C) du.
Anschließend kannst du es hier im Forum einfügen (Strg.+V).





4. Nach dem dein Helfer das log ausgewertet hat kannst du die Objekte in der Quarantäne Löschen bzw. wiederherstellen.
Wechsel dazu vom Hauptfenster aus in die Quarantäne und führe die gewünschte Aktion für die markierten Objekte aus.
Der Restore...Button stellt die markierten Objekte wieder her während der Remove...Button die Objekte löscht!


Als abschließende Überprüfung sollte ein Scan im agesicherten Modus erfolgen.
Öffne die Safe-Boot-Option von SUPERAntiSpyware indem du "Start->Programme->SUPERAntiSpyware->BootSafe" öffnest.
Es wird sich ein Installer öffnen der ein Desktop-Symbol und mehrere Registrierungsschlüssel erstellt.
Wähle im darauf folgenden Fenster Safe Mode - Minimal aus und starte den Rechner durch drücken des Reboot Buttons neu.



Wenn auch dieser Scan beendet ist kannst du den Rechner im normalen Modus neustarten.
Dazu musst du die Boot.ini ändern: "Start->ausführen->msconfig eintippen und Enter drücken.
Dort wählst du den Reiter Boot.ini aus und enfernst den Haken bei /SAFEBOOT.
Klicke dann auf Übernehmen und starte den Rechner durch Drücken des Jetzt neustarten...Buttons neu.

Danke für Eure Hilfe.
Habe das Spyproggie noch raufgehauen und die schädlichen Teile alle entfernt.
Alles noch tausendmal gescant usw. bis endlich ruhe war.
Das Läppi hat mein Kollege wieder abgeholt, will sich imMaerz eh nen neues Kaufen. Die Daten die für ihn wichtig sind kann er ja jetzt erstmal sichern, wie gesagt als er zu mir kam ging ja garnichts mehr.
Schließen wir mal das Kapitel hier mit den Dank an Eure schnelle und freundliche Hilfe.
greetings