Hallöchen !
Ich habe ein ziemlich grosses Problem. Ich weiss das schon einige auch hier im Forum mit diesem free-virusscan.com Trojaner (oder was auch immer es ist) Probleme hatten nur ich bekomm es einfach nicht in den Griff.

Ich habe schon massig Virenscanner ausprobiert aber keiner findet etwas.

Nun hab ich Hijack laufen lassen und poste euch mal meine Log file.

Für eine schnelle Hilfe, wo der Hund begraben ist - und was zu tun ist wäre ich sehr sehr sehr dankbar !!

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:12:36, on 02.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\powerman.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe
C:\Programme\Nuance\NaturallySpeaking9\Program\natspeak.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\GMR\GMRMan.exe
C:\Programme\Sony\CONNECTAutoUpdate\CONNECTAutoUpdate.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.217.250:3128
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BHO5 - {9873E994-669E-4044-BA64-E5D9AD534A55} - C:\WINDOWS\system32\domie.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [powerman] "C:\WINDOWS\System32\powerman.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CONNECTScheduler] "C:\Programme\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" /RUN_SCHEDULER
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Programme\Nuance\NaturallySpeaking9\Program\natspeak.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: CONNECTAUTrayApp.lnk = C:\Programme\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {17CB20A8-9C65-46E4-A355-7200ABB0C1E6} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/2575a1141fef8049c006/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187679714500
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2196351-87B9-487B-8CCC-02F49E8A6A72}: NameServer = 192.168.217.251
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\Fsk\SonySCSIHelperService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
         

Ich hoffe ihr könnt damit etwas anfangen. Ich habe übrigens nicht die "angebotene" Datei runtergeladen die automatisch erscheint wenn man auf free-virusscan.com klickt. Das Problem ist höchst wahrscheinlich durch eine Datei aus Rapidshare entstanden.

Schonmal Vielen Dank für eure Mühe

Hallo Markus85LEV und





Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\domie.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

Danke für die schnelle Hilfe, ich geh mal der Anleitung nach und melde mich dann gleich wieder.

Ich habe die Auswertung von Virustotal.com:
Der hat anscheinend ganz schön viel gefunden.

Soll ich auf eine Antwort warten oder direkt mit Malwarebytes weiter machen ?

Hier die Auswertung:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.7.29.1 2008.08.01 - 
AntiVir 7.8.1.15 2008.08.01 TR/BHO.fgr.1 
Authentium 5.1.0.4 2008.08.01 W32/Adware-RegBHO-based.1!Maximus 
Avast 4.8.1195.0 2008.08.02 Win32:Adware-gen 
AVG 8.0.0.156 2008.08.01 Adload_r.G 
BitDefender 7.2 2008.08.02 Trojan.Zlob.CQJ 
CAT-QuickHeal 9.50 2008.08.02 Trojan.BHO.fgr 
ClamAV 0.93.1 2008.08.02 Trojan.BHO-3678 
DrWeb 4.44.0.09170 2008.08.02 Trojan.Fakealert.1086 
eSafe 7.0.17.0 2008.07.29 Suspicious File 
eTrust-Vet 31.6.6002 2008.08.02 - 
Ewido 4.0 2008.08.02 - 
F-Prot 4.4.4.56 2008.08.01 W32/Adware-RegBHO-based.1!Maximus 
Fortinet 3.14.0.0 2008.08.02 W32/BHO.FGR!tr 
GData 2.0.7306.1023 2008.08.02 Trojan.Win32.BHO.fgr 
Ikarus T3.1.1.34.0 2008.08.02 Virus.Trojan.Win32.BHO.fgr 
K7AntiVirus 7.10.402 2008.08.01 - 
Kaspersky 7.0.0.125 2008.08.02 Trojan.Win32.BHO.fgr 
McAfee 5352 2008.08.01 Generic.dx 
Microsoft 1.3704 2008.07.28 - 
NOD32v2 3318 2008.08.01 Win32/Adware.IeDefender.NGN 
Norman 5.80.02 2008.08.01 W32/BHO.DXE 
Panda 9.0.0.4 2008.08.02 Adware/WebSearch 
PCTools 4.4.2.0 2008.08.01 Trojan.BHO!sd6 
Prevx1 V2 2008.08.02 Malware Downloader 
Rising 20.55.42.00 2008.08.02 - 
Sophos 4.31.0 2008.08.02 Troj/BHO-GK 
Sunbelt 3.1.1537.1 2008.08.01 Trojan.Win32.BHO.fgr 
Symantec 10 2008.08.02 Downloader.MisleadApp 
TheHacker 6.2.96.391 2008.07.31 - 
TrendMicro 8.700.0.1004 2008.08.01 TROJ_WEBSEARC.AM 
VBA32 3.12.8.2 2008.08.02 Trojan.Win32.BHO.fgr 
ViRobot 2008.8.1.1321 2008.08.01 - 
VirusBuster 4.5.11.0 2008.08.01 - 
Webwasher-Gateway 6.6.2 2008.08.02 Trojan.BHO.fgr.1 

weitere Informationen 
File size: 18944 bytes 
MD5...: 13206a7dddc28fbf4143e832741774b6 
SHA1..: e50bca36de1981d51f3dccee275abd6c3069acc1 
SHA256: 5688f59c17a0212b487dde40216221a4959ff3cd6b9f93e7872bd53c0ea57f55 
SHA512: da4ceb8871db675d46407b7ce2a18dc1b442239d592aa1132d26c903986ac6d0
d8205e3a7439a22f7787584a4c6bfc16df19a0a69aebc821a91ead085585c5d4 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000e2e0
timedatestamp.....: 0x4889f27c (Fri Jul 25 15:34:20 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xa000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xb000 0x4000 0x3600 7.78 c93258512e3569975f2c86f57200eded
.rsrc 0xf000 0x1000 0x1000 4.19 599840537c0da9d164080e8955dbc98a

( 8 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> ADVAPI32.dll: RegCloseKey
> GDI32.dll: SelectObject
> MSVCRT.dll: free
> ole32.dll: CoCreateInstance
> OLEAUT32.dll: -
> SHELL32.dll: ShellExecuteA
> USER32.dll: CharNextA

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=74E42C7F0090217B4AC000A100103D0019D4A66D 
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=13206a7dddc28fbf4143e832741774b6 
packers (Kaspersky): PE_Patch.UPX, UPX 
packers (F-Prot): UPX
         

direkt mit Malwarebytes weiter machen.

Ok, Scan läuft schon.
Nur zum Verständnis: Wozu ist der Scan auf virustotal.com, wenn ich ja jetzt unabhängig davon Malwarebytes laufen lasse ?

Bzw. was sagt virustotal.com letztendlich zu dieser domie.dll Datei ?

Da blicke ich noch nicht ganz durch, ich wollte es aber gerne einigermaßen verstehen :-)

Hi, anscheinend war es wohl die genannte .dll Datei.
Noch eine Frage. Im Bericht steht, dass die Dateien beim reboot entfernt werden. Ich habe die automatische Systemwiederherstellung DEaktiviert.

Ist das richtig, oder soll ich die wieder einschalten ?

Muss ich noch irgendetwas unternehmen ? Vielen Dank auf jedenfall schonmal für die Hilfe !!

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1015
Windows 5.1.2600 Service Pack 2

16:06:26 02.08.2008
mbam-log-8-2-2008 (16-06-26).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 109175
Laufzeit: 43 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\domie.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9873e994-669e-4044-ba64-e5d9ad534a55} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9873e994-669e-4044-ba64-e5d9ad534a55} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\domie.dll (Trojan.FakeAlert) -> Delete on reboot.
         

Wieder aktivieren und dann sollte es, sofern du keine Probleme mehr hast, gewesen sein.

Perfekt, vielen Dank !! Läuft alles wieder absolut sauber. Also wird mich meine Schwester wohl doch nicht umbringen wollen