Ich wünsche einen wunderschönen Samstag.

Ich kämpfe seit einigen Tagen mit einem Trojaner, der sich durch Entpacken einer infizierten Datei meinerseits eingenistet hat.

Verschiedene Antivirenprogramme identifizierten die Schädlinge als
trojan-ace-x
Troj/ZlobDr-G
apmebt cookie
weborama cookie
adware.agent.bn
adware.advertising.ng
application.trackingcookies
trojan-downloader.VB.AxA
Adware.leosivbar
spyware.known_bad_sites
rogueantispyware.system defender
application.Nircmd

Diese "Infektionen" habe ich mehrmals von verschiedenen Programmen wie AdAware2007, Spywaredoctor, Avira, Norton usw. feststellen und löschen lassen. Nach Systemstart ist die Situation unverändert.
Ich habe das Program "Smitfraudfix" im abgesicherten Modus seine Arbeit tun lassen - letztendlich kehrten die Popups wieder.

Folgende Popups erscheinen unter anderem:
"Windows Security Alert" Windows has detected an Internet attack attempt [bla]
"Spyware Alert" Security Warning [bla]
IE-Fenster: SystemDefender Security Center
Taskleiste: Rotes Kreuz mit Sicherheitswahrnung und Link

Etwa alle 20 sekunden wird ein anderes als das gewählte Fenster in den Vordergrund gedrückt (so als wenn man alt+tab drückt)

Auf meinem Desktop tauchen die Symbole "Error Cleaner", "Privacy Protector" und "Spyware&Malware Protection" auf. Diese führen zu Internetseiten. (habe diese symbole noch nie doppelgeklickt!)

Hier ist ein 2 Minuten alter Hijackthis-Report:

Logfile of HijackThis v1.99.1
Scan saved at 15:49:08, on 08.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\DAEMON Tools\daemon.exe
d:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\HJT\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: enlfxgw - {A61C6CD7-49E2-4A57-B1BB-6F23DA1DBDF0} - C:\WINDOWS\enlfxgw.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "d:\Programme\DAEMON Tools\daemon.exe"
O4 - HKCU\..\Run: [AntispywareBot] C:\Programme\AntispywareBot\AntispywareBot.exe -boot
O4 - Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177885686978
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1177889064531
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: apdqnxp - {BF23C484-BD1E-4100-B2FB-BACCE1EC1B59} - C:\WINDOWS\apdqnxp.dll
O21 - SSODL: btrklfr - {26D028FE-B6A2-411B-91D6-90CD769EF430} - C:\WINDOWS\btrklfr.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Ich wäre sehr dankbar für jede Art von Hilfe - sonst bleibt mir nur die Formatierung

Gruß, Hincha

So, ich hab mir das mal angesehen. Da ist vieles, was nicht in Ordnung ist, du solltest dringend dein System neu aufsetzen, also formatieren, glaub mir, es ist am besten so.

Tja, dann werde ich mich mal an die Arbeit machen.

Ist es gefährlich, meine Film- und Musikordner auf externer Festplatte zu sichern und danach direkt wieder aufzuspielen?

Auf ein paar meiner alten Dateien werd ich so oder so nicht verzichten können... reicht nach der Formatierung ein Virenscann von Avira aus, um eine neue Infektion durch alte Daten zu verhindern?

Vielen Dank für die Unterstützung,
Hincha

im Grunde muss man nicht formatieren, es reicht das Faketool C:\Programme\AntispywareBot + die vundo-Dateien zu entfernen .. geht eigentlich ganz fix..hast du schon formatiert ?

nein, bin noch am vorbereiten... das wär ja gut wenn ich das problem so einfach lösen kann
ich lösche also dieses programm, aber was meinst du mit "vundo" dateien?

Hallo,

1.
wende rvaxo an + poste den report
RVAXO

2.
wende bitte Combofix an + poste hier den report
combofix