Hallo Liebe Community,


ich habe ein Problem mit einem oder mehreren?!?! Trojanern.
Ich habe bereits ein Tutorial durchgemacht ála Systemwiederherstellung dann abgesicherter bla bla ect. was jedoch keinen erfolg garantieren konnte.

Habe auch die betroffenen Dll`s in der Registry gelöscht, sie kommen jedoch immer wieder.

Hier mein HJT Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:41:36, on 11.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin .dll
O2 - BHO: (no name) - {49D1D423-3C4B-4716-80A5-EC6C8F373828} - C:\WINDOWS\system32\awtsQKdD.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {8D742974-DEA8-40F2-9008-9BAA973C958D} - C:\WINDOWS\system32\mlJARIXR.dll (file missing)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {6b13da20-d03b-8dd9-b6c4-ca337028f93b} - {b39f8207-33ac-4c6b-9dd8-b30d02ad31b6} - C:\WINDOWS\system32\kdymlm.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O20 - Winlogon Notify: mlJARIXR - mlJARIXR.dll (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 5233 bytes
         

Hier mein Avira Report.

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 2. August 2008 12:45

Es wird nach 1528705 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ****

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 10:43:51
ANTIVIR2.VDF : 7.0.5.174 2027008 Bytes 25.07.2008 10:43:58
ANTIVIR3.VDF : 7.0.5.205 285696 Bytes 01.08.2008 10:44:00
Engineversion : 8.1.1.15
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.61 311675 Bytes 02.08.2008 10:44:14
AESCN.DLL : 8.1.0.23 119156 Bytes 02.08.2008 10:44:13
AERDL.DLL : 8.1.0.20 418165 Bytes 02.08.2008 10:44:12
AEPACK.DLL : 8.1.2.1 364917 Bytes 02.08.2008 10:44:10
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 02.08.2008 10:44:09
AEHEUR.DLL : 8.1.0.44 1343863 Bytes 02.08.2008 10:44:08
AEHELP.DLL : 8.1.0.15 115063 Bytes 02.08.2008 10:44:05
AEGEN.DLL : 8.1.0.32 315765 Bytes 02.08.2008 10:44:04
AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 10:44:03
AECORE.DLL : 8.1.1.8 172406 Bytes 02.08.2008 10:44:02
AEBB.DLL : 8.1.0.1 53617 Bytes 02.08.2008 10:44:01
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 10:44:00
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 2. August 2008 12:45

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '36' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <C>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP118\A0141355.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/ActualSpy.B
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP118\A0141355.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> svchost.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54057.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173458.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54079.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173459.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c5407e.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173460.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54085.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173462.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54086.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173464.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 496453ff.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173470.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54778.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP138\A0198858.dll
[FUND] Ist das Trojanische Pferd TR/Monder.biw
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c5409e.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <D>
Beginne mit der Suche in 'E:\' <E>


Ende des Suchlaufs: Samstag, 2. August 2008 13:15
Benötigte Zeit: 30:52 min

Der Suchlauf wurde vollständig durchgeführt.

7256 Verzeichnisse wurden überprüft
556683 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
8 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
8 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
556675 Dateien ohne Befall
1406 Archive wurden durchsucht
1 Warnungen
8 Hinweise
         

---Ende



Hier der aktuelle:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 11. August 2008 21:27

Es wird nach 1547103 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: SYSTEM
Computername: ****

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 10:43:51
ANTIVIR2.VDF : 7.0.5.207 2316800 Bytes 04.08.2008 21:03:01
ANTIVIR3.VDF : 7.0.5.240 229376 Bytes 11.08.2008 19:15:16
Engineversion : 8.1.1.19
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.63 311673 Bytes 08.08.2008 05:51:06
AESCN.DLL : 8.1.0.23 119156 Bytes 02.08.2008 10:44:13
AERDL.DLL : 8.1.0.20 418165 Bytes 02.08.2008 10:44:12
AEPACK.DLL : 8.1.2.1 364917 Bytes 02.08.2008 10:44:10
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 02.08.2008 10:44:09
AEHEUR.DLL : 8.1.0.47 1368437 Bytes 08.08.2008 05:51:05
AEHELP.DLL : 8.1.0.15 115063 Bytes 02.08.2008 10:44:05
AEGEN.DLL : 8.1.0.35 315764 Bytes 08.08.2008 05:51:03
AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 10:44:03
AECORE.DLL : 8.1.1.8 172406 Bytes 02.08.2008 10:44:02
AEBB.DLL : 8.1.0.1 53617 Bytes 02.08.2008 10:44:01
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 10:44:00
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 11. August 2008 21:27

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\mlJARIXR.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Die Datei konnte nicht gelöscht werden!

Die Registry wurde durchsucht ( '33' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <C>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Setups,Downloads\[CheatDB] SSW (Super Simple Wall) v4.3 2008-03-10.rar
[0] Archivtyp: RAR
--> SS Wall v4.3.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49089f88.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\awtsQKdD.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4914a1af.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\mlJARIXR.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48eaa1cd.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei konnte nicht gelöscht werden!
Beginne mit der Suche in 'D:\' <D>
D:\Hurensohn_meineDateien!\Sachen für Games + 1.5\CounterStrike\SS Wall v4.3.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c0a2a6.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\' <E>


Ende des Suchlaufs: Montag, 11. August 2008 22:34
Benötigte Zeit: 1:07:10 min

Der Suchlauf wurde vollständig durchgeführt.

7067 Verzeichnisse wurden überprüft
548411 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
548406 Dateien ohne Befall
1361 Archive wurden durchsucht
4 Warnungen
4 Hinweise
         

---Ende


Hier meine Netzwerk Verbindungen:

Code: Alles auswählenAufklappen

ATTFilter

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP ****:epmap ****:0 ABHÖREN
TCP ****:microsoft-ds ****:0 ABHÖREN
TCP ****:1028 ****:0 ABHÖREN
TCP ****:1033 localhost:1034 HERGESTELLT
TCP ****:1034 localhost:1033 HERGESTELLT
TCP ****:1035 localhost:1036 HERGESTELLT
TCP ****:1036 localhost:1035 HERGESTELLT
TCP ****:27015 ****:0 ABHÖREN
TCP ****:netbios-ssn ****:0 ABHÖREN
UDP ****:microsoft-ds *:*
UDP ****:isakmp *:*
UDP ****:4500 *:*
UDP ****:ntp *:*
UDP ****:44301 *:*
UDP ****:45301 *:*
UDP ****:ntp *:*
UDP ****:netbios-ns *:*
UDP ****:netbios-dgm *:*
         

---Ende



Ich hoffe ihr könnt mir helfen denn ich möchte unter keinen Umständen
(außer wenn nix mehr geht) meine HDD`s formatieren.
Sry wegen des langen Textes.

Mfg Marc

Hi,

dann lass mal das hier online prüfen:
C:\WINDOWS\system32\kdymlm.dll
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html
Poste das Log...

Weiterhin bitte noch Combofix und MAM downloaden, MAM installieren und updaten, dann offline gehen und combofix starten, danach MAM.
Online gehen und beide Logs posten;

Combofix:
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

MAM:
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.

chris

Gut ich werde heute Abend die Logs posten.

Eine Frage noch zu Combofix:
Ist das Programm nicht gefährlich? Was muss ich beachten??

Danke Chris für die schnelle Antwort!

Mfg Marc

Hi,

nein, allerdings werden einige Teile von Combofix fälschlicherweise als Bedrohung erkannt, daher die sonst laufenden Guards abschalten...
combofix legt wie hj auch backups aller Änderungen an (C:\Qoobox)...


chris

Ok Danke dir.
Ich kann die Logs erst heute abend erstellen + posten.
Ist die Infizierung denn schlimm?
Kann man das System noch retten?
Habe keinerlei ahnung von Viren Trojaner und Backdoors ect.


Mfg Marc

Hi hier das Virustotal Log von der Datei die ich prüfen sollte.
Weiß nicht ob du das gemeint hast?

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.13.0	2008.08.12	-
AntiVir	7.8.1.19	2008.08.12	ADSPY/Superjuan.ckp
Authentium	5.1.0.4	2008.08.12	-
Avast	4.8.1195.0	2008.08.12	-
AVG	8.0.0.156	2008.08.12	Generic3.KZC
BitDefender	7.2	2008.08.12	-
CAT-QuickHeal	9.50	2008.08.12	-
ClamAV	0.93.1	2008.08.12	-
DrWeb	4.44.0.09170	2008.08.12	-
eSafe	7.0.17.0	2008.08.12	Suspicious File
eTrust-Vet	31.6.6027	2008.08.12	Win32/VundoCryptorA!Generic
Ewido	4.0	2008.08.12	-
F-Prot	4.4.4.56	2008.08.12	-
Fortinet	3.14.0.0	2008.08.12	Adware/SuperJuan
GData	2.0.7306.1023	2008.08.12	-
Ikarus	T3.1.1.34.0	2008.08.12	-
K7AntiVirus	7.10.412	2008.08.12	-
Kaspersky	7.0.0.125	2008.08.12	not-a-virus:AdWare.Win32.SuperJuan.ckp
McAfee	5358	2008.08.11	-
Microsoft	1.3807	2008.08.12	-
NOD32v2	3349	2008.08.12	-
Norman	5.80.02	2008.08.12	-
Panda	9.0.0.4	2008.08.12	-
PCTools	4.4.2.0	2008.08.12	-
Prevx1	V2	2008.08.12	Cloaked Malware
Rising	20.57.12.00	2008.08.12	-
Sophos	4.32.0	2008.08.12	-
Sunbelt	3.1.1542.1	2008.08.12	-
Symantec	10	2008.08.12	-
TheHacker	6.3.0.3.046	2008.08.12	-
TrendMicro	8.700.0.1004	2008.08.12	-
VBA32	3.12.8.3	2008.08.11	-
ViRobot	2008.8.12.1333	2008.08.12	-
VirusBuster	4.5.11.0	2008.08.12	-
Webwasher-Gateway	6.6.2	2008.08.12	Ad-Spyware.Superjuan.ckp
weitere Informationen
File size: 107008 bytes
MD5...: 937915b19c5c8c0df605fc6e17c0d4c8
SHA1..: 3f6f40b83163e9203999803ef0e6fae1244b729d
SHA256: 19cdbc52544d68cdb9ea230b1b0af02e2134159f89dc5fbb0d08b9ed79a43d04
SHA512: f22f6df5d48853ca89b4fce56f1e892c4eabdaaa6d8a44003389b9bba3dbcfa7
9688a87402274219ba7aecc4075c9fc7d1ef09c7c9010939df41b13b0c60924c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10035546
timedatestamp.....: 0x48126730 (Fri Apr 25 23:20:16 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1000 0x200 7.57 12fd37de4a4abd5029a0153dc1c5784b
.rdata 0x2000 0x1000 0x200 7.62 b4be83b45b61f24f9f2737e40748de2f
.data 0x3000 0x1000 0x200 7.60 66313eeac9178272c675d1feeef2bda8
.text 0x4000 0x31000 0x17a00 8.00 7d9ef47c8fc4a95a67b38c095119f959
.pdata 0x35000 0x1000 0x1000 5.43 8d34c994cd99d34d112e5b283dbfb313
.rsrc 0x36000 0x1000 0x200 1.47 2bdd3a19990c80152ce78d4daa7392d1

( 4 imports )
> KERNEL32.dll: CreateFileA, ExitProcess
> USER32.dll: GetDC, GetDesktopWindow, TranslateMessage
> GDI32.dll: GetDeviceCaps
> comdlg32.dll: ChooseColorA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8C9D715800DFA71AA2B701924ADF61002D345C39
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=937915b19c5c8c0df605fc6e17c0d4c8
         

Die anderen Logs werde ich nachher noch posten.


Mfg Marc