Folgendes Problem:
Vor 6 Stunden kappte sich meine Internetverbindung plötzlich. Ich entfernte den USB Router und stöpselte ihn danach wieder an.
Anschließend öffnete ich die Netzwerkverbindungen. Dort sah ich dann, dass eine neue Möglichkeit mit dem Netz zu verbinden, automatisch erstellt wurde. Der Name dieser Verbindung war "Network Connection". Diese Verbindung löschte ich anschließend.

Etrust fand mit der Echtzeitprüfung inzwischen zwei infizierte Objekte mit dem Win32/Adclicker.hf

Nun das Problem: Die Objekte wurden nicht entfernt, da laut Etrust die Dateien nicht geöffnet werden konnten. Auch manuell war dies nicht möglich!

Einzige Nebenwirkung war bisher nochmaliger Abbruch meiner Internetverbindung und erneute Erstellung von "Internet Connection".

Etrust findet bei der Virensuche insgesammt 32 Dateien, welche nicht geöffnet werden können.

Bei den Dateien wrlche nicht geöffnet werden können handelt es sich in den meisten Fällen um Dateien mit den Endungen **.dat und **.log - weitere Endungen sind **.sys, **.lock, **.edb, sowie einige Dateien ohne direkte Endug.

Hat hier jemand einen Rat? Über google finde ich nur sehr wenige Ergebnisse für Win32/AdClicker.hf...

HiJackThis Log:

Logfile of Trend Micro HijackThis v2.0.2



[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Hallo und ,
Bitte editiere alle aktiven Links und persönliche Namen in deinem Log.
Zu den .dat und .log-Dateien handelt es sich schlimmstenfalls um Aufzeichnungen eines Keyloggers.

Ansonsten arbeite bitte folgende Punkte genau nach der Reihenfolge ab:


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\TEMP\BwoOpQm8.exe
C:\WINDOWS\system32\podx5032.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Danach folge der Anleitung von MalwareBytes, Link findest du in meiner Signatur.

mfg

Logfile VirusTotal 1:

atei BwoOpQm8.exe empfangen 2008.07.21 16:41:58 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 26/34 (76.48%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.21.1 2008.07.21 Win-Trojan/Dialer.8218
AntiVir 7.8.1.11 2008.07.21 TR/Dialer.alc.1
Authentium 5.1.0.4 2008.07.20 W32/Heuristic-210!Eldorado
Avast 4.8.1195.0 2008.07.20 Win32ialer-937
AVG 8.0.0.130 2008.07.21 Dialer.GZN
BitDefender 7.2 2008.07.21 Application.Dialer.INL
CAT-QuickHeal 9.50 2008.07.18 TrojanDownloader.Zlob.akc
ClamAV 0.93.1 2008.07.21 PUA.Packed.UPack-2
DrWeb 4.44.0.09170 2008.07.21 Dialer.Tiny
eSafe 7.0.17.0 2008.07.21 Suspicious File
eTrust-Vet 31.6.5971 2008.07.21 -
Ewido 4.0 2008.07.21 Trojan.Dialer.alc
F-Prot 4.4.4.56 2008.07.20 W32/Heuristic-210!Eldorado
F-Secure 7.60.13501.0 2008.07.21 Trojan.Win32.Dialer.alc
Fortinet 3.14.0.0 2008.07.21 -
GData 2.0.7306.1023 2008.07.21 Trojan.Win32.Dialer.alc
Ikarus T3.1.1.34.0 2008.07.21 Trojan.Win32.Dialer.alc
Kaspersky 7.0.0.125 2008.07.21 Trojan.Win32.Dialer.alc
McAfee 5342 2008.07.18 New Malware.aj
Microsoft 1.3704 2008.07.21 -
NOD32v2 3284 2008.07.21 -
Norman 5.80.02 2008.07.21 W32/Suspicious_U.gen
Panda 9.0.0.4 2008.07.20 -
PCTools 4.4.2.0 2008.07.21 Packed/Upack
Prevx1 V2 2008.07.21 -
Rising 20.54.02.00 2008.07.21 -
Sophos 4.31.0 2008.07.21 Troj/Dialer-FE
Sunbelt 3.1.1536.1 2008.07.18 VIPRE.Suspicious
Symantec 10 2008.07.21 -
TheHacker 6.2.96.385 2008.07.20 Trojan/Dialer.alc
TrendMicro 8.700.0.1004 2008.07.21 PAK_Generic.006
VBA32 3.12.8.1 2008.07.21 Trojan.Win32.Dialer.alc
VirusBuster 4.5.11.0 2008.07.21 Packed/Upack
Webwasher-Gateway 6.6.2 2008.07.21 Trojan.Dialer.alc.1
weitere Informationen
File size: 8278 bytes
MD5...: aecdbb8e4e4dc1be3cab27bc39a6acb5
SHA1..: 18df02e6d69b8414ebbc47ec8665b333f52e4cdb
SHA256: 4d35799838ac0e49d8e6a21c68102203a7a1e588a3a07314d7fa07a2b955e99b
SHA512: e027162b5188f8f3d8b7cc37c41579c7f750553622d115e6f4ce59da1cd29de3
caa40779e43aad027a447a492c079751543c8a49016e23b4eec92f1443ed60b9
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401018
timedatestamp.....: 0x4011b0be (Fri Jan 23 23:39:42 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
PS 0x1000 0x13000 0x1f0 5.24 399dc4bf37e672a8e3c32bb1ccd2bc2d
@_A 0x14000 0x9000 0x1da8 7.08 1a75e71b66f812b0e1a9b6a57895074b
A3A@ 0x1d000 0x1000 0x1f0 5.24 399dc4bf37e672a8e3c32bb1ccd2bc2d

( 0 imports )

( 0 exports )
packers (Avast): Upack
packers (Authentium): UPack
packers (Kaspersky): PE_Patch, UPack
packers (F-Prot): UPack

VirustTotal 2:

Datei podx5032.dll empfangen 2008.07.21 16:44:31 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 22/33 (66.67%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 27.
Geschätzte Startzeit is zwischen 118 und 168 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.21.1 2008.07.21 Win-Trojan/Agent.12144.B
AntiVir 7.8.1.11 2008.07.21 TR/Agent.14427.B
Authentium 5.1.0.4 2008.07.20 W32/Agent.HFD
Avast 4.8.1195.0 2008.07.20 Win32:Agent-TYG
AVG 8.0.0.130 2008.07.21 Generic3.OE
BitDefender 7.2 2008.07.21 Adware.Generic.27668
CAT-QuickHeal 9.50 2008.07.18 AdWare.Stud.n (Not a Virus)
ClamAV 0.93.1 2008.07.21 Adware.Stud-3
DrWeb 4.44.0.09170 2008.07.21 -
eSafe 7.0.17.0 2008.07.21 Suspicious File
eTrust-Vet 31.6.5971 2008.07.21 -
Ewido 4.0 2008.07.21 Not-A-Virus.Adware.Stud
F-Prot 4.4.4.56 2008.07.20 W32/Agent.HFD
F-Secure 7.60.13501.0 2008.07.21 AdWare.Win32.Stud.n
Fortinet 3.14.0.0 2008.07.21 -
GData 2.0.7306.1023 2008.07.21 Win32:Agent-TYG
Ikarus T3.1.1.34.0 2008.07.21 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 7.0.0.125 2008.07.21 -
McAfee 5342 2008.07.18 -
Microsoft 1.3704 2008.07.21 -
NOD32v2 3284 2008.07.21 Win32/Adware.Stud
Norman 5.80.02 2008.07.21 W32/Stud.BF
Panda 9.0.0.4 2008.07.20 Suspicious file
PCTools 4.4.2.0 2008.07.21 -
Rising 20.54.02.00 2008.07.21 -
Sophos 4.31.0 2008.07.21 Mal/Behav-010
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.21 -
TheHacker 6.2.96.385 2008.07.20 Adware/Stud.n
TrendMicro 8.700.0.1004 2008.07.21 PAK_Generic.001
VBA32 3.12.8.1 2008.07.21 suspected of Trojan-Downloader.Agent.47 (paranoid heuristics)
VirusBuster 4.5.11.0 2008.07.21 -
Webwasher-Gateway 6.6.2 2008.07.21 Trojan.Agent.14427.B
weitere Informationen
File size: 39540 bytes
MD5...: 74eb65da737acac8eb0fa01b20c024c1
SHA1..: d8e94222c7369cfabee1cb661727d542caa4a3de
SHA256: 8be715ceab5fa1cf01e531ca4ded00c8e24f62f3fe8a981438ead89f87c4be2a
SHA512: e71c270d86d666e498d97be01cb81fce0d4f5fca905e285a110929edbf7d21fa
31fdf328ea911f3682fbc54a0e6c6c2181c2ad780e8e23851a0ab7975a5db215
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10009090
timedatestamp.....: 0x47ac6dc4 (Fri Feb 08 14:57:08 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x7000 0x3000 0x2400 7.69 c4fd3481a2b404bb29959b68e72f029f
UPX2 0xa000 0x1000 0x400 2.65 cfa7783e26c0a74d865fb216d4d0ab53

( 5 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> ADVAPI32.dll: RegCloseKey
> urlmon.dll: ObtainUserAgentString
> USER32.dll: CharNextA
> WININET.dll: InternetOpenA

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Ok, dann bitte noch die Prozedur mit MalwareBytes

So... Hier nun die Logdatei von Malwarebytes:

Malwarebytes' Anti-Malware 1.22
Datenbank Version: 974
Windows 5.1.2600 Service Pack 2

18:11:22 21.07.2008
mbam-log-7-21-2008 (18-11-22).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 151707
Laufzeit: 49 minute(s), 8 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
C:\WINDOWS\Temp\BwoOpQm8.exe (Spyware.OnlineGames) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\Adrian Tobias Varga\Lokale Einstellungen\Temp\ufnVJMxL.exe (Spyware.OnlineGames) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\podx5032.dll (Adware.Agent) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{a67a08a9-efd1-470e-8cc7-eb0054e38a7a} (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a67a08a9-efd1-470e-8cc7-eb0054e38a7a} (Adware.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\podx5032.dll (Adware.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BwoOpQm8.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adrian Tobias Varga\Lokale Einstellungen\Temp\ufnVJMxL.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Sabine Elke Leber\Lokale Einstellungen\Temp\GLKA6.tmp (Rogue.EvidenceEliminator) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{53C4C432-4C83-4FAB-ABF0-92303FF6D88A}\RP115\A0020958.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{53C4C432-4C83-4FAB-ABF0-92303FF6D88A}\RP152\A0024055.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Gut, nun deaktiviere die Systemwiederherstellung:
Rechtsklick auf "Arbeitsplatz" => Eigenschaften => Systemwiederherstellung => Häkchen bei "Systenwiederherstellung auf allen Laufwerken deaktivieren" setzen.
Reboote deinen Rechner, dann die Systemwiederherstellung wieder aktivieren.

Mache dann folgendes:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

mfg