Hallo zusammen,

Ich bin noch neu hier und hatte eigentlich gehofft, dass ich eure Hilfe niemals in Anspruch nehmen muss, aber ich hab mir nen ziemlich hartnäckigen Trojaner eingefangen.
Angefangen hat das Ganze gestern mit dem "Programm" Antivirus xp 2008, ich weiß leider nicht mehr genau, wie ich es mir auf den Rechner geholt habe. Nach langem Googlen und mehrfachen Löschversuchen mit AdAware, Antivir, Spybot Search&Destroy und a-squared habe ich keine Alternative mehr gesehen und hab meine Festplatte formatiert. Hatte gedacht, dass ich damit das Problem lösen würde (ich bin nicht so fit in diesen Trojaner- und Virus-dingen).
Nach der Installation von Windows XP habe ich heute dann wieder sofort Adaware, spybot und a-squared durchlaufen lassen und alles löschen lassen, indem "trojaner" drinstand bzw. mir das programm empfohlen hat die betreffende datei zu löschen. Jedoch ist das Löschen nicht von Dauer, beim nächsten Scan zeigt mir das Programm wieder alle Trojaner aufs neue an, die ich dann natürlich wieder löschen lasse, und so setzt sich das dann immer weiter fort.

Antivir hat sich zwar nach vielen vielen Versuchen installieren lassen, aber bei jedem Neustart bzw. wenn ich das Programm manuell starten möchte bekomm ich die folgende Fehlermeldung:
"The application module

C:\programme\avira\antivir personaledition classic\avcenter.exe

cannot be found or has been modified or destroyed.
The AVCENTER.EXE cannot be started.
Please check your installation!"

Wenn ich Antivir deinstallieren möchte kommt:
"Die CRC-Summe von
C:\Programme\Avira\Antivir PersonalEdidion Classic\setup.exe
wurde verändert! Dies könnte von einem Virus verursacht worden sein!"

Ich weiß absolut nicht mehr was ich machen soll, bitte helft mir.

Mein HijackThis Log-File:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:33:50, on 21.07.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\slvcm.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\rqwnw64s.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\ocntmtdm.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\system32\slvcm.exe
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: mysidesearch search enhancer - {6da18c08-d16a-0378-7da1-f8087cf55117} - C:\WINDOWS\System32\tskmjjymsp.dll
O2 - BHO: targetedbanner browser optimizer - {a17a3444-e3c5-d62a-479b-14838f08142f} - C:\WINDOWS\System32\htentxfjxdckaqid.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [{58-82-25-55-DW}] c:\windows\system32\rwwnw64d.exe DWram02
O4 - HKLM\..\Run: [{050b6a13-0086-9148-7274-3587afb87134}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\System32\htentxfjxdckaqid.dll" DllStart
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\System32\ocntmtdm.exe DWram02
O4 - HKLM\..\Run: [slvcm.exe] C:\WINDOWS\system32\slvcm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Deewoo.lnk = C:\WINDOWS\system32\ocntmtdm.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: DW_Start.lnk = C:\WINDOWS\system32\rwwnw64d.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Deewoo.lnk = C:\WINDOWS\system32\ocntmtdm.exe (User 'Default user')
O4 - .DEFAULT Startup: DW_Start.lnk = C:\WINDOWS\system32\rwwnw64d.exe (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ocntmtdm.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\rqwnw64s.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

--
End of file - 4916 bytes



Ich bedanke mich schonmal und hoffe wirklich, dass ihr mir helfen könnt.

Gruß Duda

Hallöle Duda.

Da du eh grade formatiert hast machen wir das ganze doch nochmal richtig.. Danach ist dein Rechner nämlich definitiv wieder sauber.

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

danke für die antwort

das log:


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Jute, der MBR ist in Ordnung. Du kannst nach Anleitung weitermachen..

das heißt dann, dass ich die "bereinigung" nicht mehr machen muss, weil mein system ja soweit sauber ist, hab ich das richtig verstanden?

Zitat von undoreal:

Zitat:

Da du eh grade formatiert hast machen wir das ganze doch nochmal richtig..

Dann:

Zitat:

Jute, der MBR ist in Ordnung. Du kannst nach Anleitung weitermachen..

Das heißt, du kannst mit der Anleitung weitermachen => Neuaufsetzen

mfg

ich meinte diesen teil:

Zitat:

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

das muss ich nicht mehr machen oder?

Musst du nicht, dein MBR ist ja i.O.