Hallo zusammen.
Ich wusste nicht wie ich das Thema nennen soll da ich keine Ahnung habe was ich mir eingefangen habe.
Nach einer kurzen Einleitung versuche ich das Ganze so kurz wie möglich Stichpunkartig zusammenzufassen, weil ein zusammenhängender Text wohl doch verdammt lang werden würde.


Vor zwei Wochen ist meine Kaspersky Testversion (Version 7.0.0.125) abgelaufen und habe es etwas rausgeschoben mir wieder einen Schutz zuzulegen. Gegen ein "selber Schuld" kann ich also wenig sagen.
Angefangen hat es mit der Meldung ich hätte mir einen Virus eingefangen, darauf startete ein Programm was ich nicht installiert habe, welches hier aber scheinbar bekannt ist: Antivirus XP 2008.
Da ich skeptisch bin gegenüber Programmen die sich ausführen obwohl ich sie weder gestartet noch installiert habe habe ich es geschlossen. Die Pop-ups dannach ebenfalls. Dann zeigte mein 2ter Monitor einen roten Bildschirm mit Biohazard Zeichen und Virusblablub Meldung. Den Taskmanager konnte ich auch nicht mehr öffnen; genauer gesagt ging nach kurzer Zeit gar nichts mehr.

- ich kann nur noch im abgesicherten Modus arbeiten
- daraus folgt: Kaspersky 2009 kann nicht installiert werden
- momentanes Kaspersky (7.0.0.125) kann nicht upgedated werden (Könnte nun eine 2te Trialzeit aktivieren, er kann aber keine Verbindung zum Server herstellen). Mit dem veralteten Datenbanken konnte nichts gefunden werden.
- Spybot S&D kann nicht scannen da ich es nicht updaten kann
- Jegliche Antivirus Seite (kaspersky.com besttechie.net virusscan.jotti.org etc.) ist nicht aufrufbar (und mim Firefox konnte ich mich hier nicht einloggen, mim IE gings). Andere Seite gehen Problemlos (wenn auch etwas langsam).
- Habe nirgendwo Malwarebytes mit alternativem Downloadlink finden können (daher kann ich damit nicht scannen)
- Im normalen Benutzerkonto ist kein lokales Laufwerk mehr verfügbar
- Wenn ich mit mit normalen Benutzerkonto im abgesicherten Modus einlogge geht auch nichts mehr, nur als Administrator
- Vorhin kam einmal "Computer wird in 30 Sekunden runtergefahren" shutdown -a hat zum Glück geholfen
- Die Hosts Datei ist normal
- SmitFraudFix hat nichts gebracht
- Habe nun "etwas länger" im Internet (und hier) gesucht, und bei vergleichbaren Problemen haben mich die Lösungen nicht weitergebracht. (ComboFix wollte ich nicht ohne Empfehlung benutzen)


Ich glaube das war alles, falls mir nochwas einfallen sollte trage ich es nach, falls noch Fragen offen sein sollten: nur zu.
Vielen Dank schonmal fürs lesen und ggf. auch für Hilfversuche/erfolge.


Anbei noch ein HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:45:46, on 15.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: vwsrfton - {ABA69CF4-20FB-42CE-BB6D-B6171D64B8EC} - C:\WINDOWS\vwsrfton.dll (file missing)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-746137067-2025429265-682003330-500\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-746137067-2025429265-682003330-500\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{72485CBC-43ED-43FC-AFB5-0AE6F748A706}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache - Unknown owner - C:\Programme\WAMP\Apache\Apache.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\WAMP\mysql\bin\mysqld-max-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Packard Bell Software Suite Service 1 (Service1) - Packard Bell Services - C:\Programme\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe

Hi,

ausser das hier (vwsrfton.dll wahrscheinlich VideoAccessCodec) gibt das
HJ-Log nichts her, daher (und weil DSS zur Zeit nicht will), bitte Combofix
ausführen, dabei Rechner vom Inet trennen und Kaspersky temporär ausschalten:

Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

Habe mir ComboFix besorgt (musste allerdings eine Weile googlen bis ich eine Adresse fand die funktionierte), allerdings scheint das Programm abzustürzen.

Ich habe mir die rar Datei auf den Desktop geladen, den PC neugestartet im abgesicherten Modus (ohne Netzwerkumgebung) entpackt und gestartet.
Nachdem ich die "1" eingegeben habe machte er kurz was, dann war das Programm weg. Habe kurz gewartet und als sich nichts tat habe ich den TaskManager aufgerufen, da war nichts davon zu sehen. Also nochmal gestartet, dann kam:

Please wait
Writing '@' with data 'explorer.exe,-111' failed.

Und im nächsten Bild:

Scanning for infected filed . . .
This typically doesn't take more than 10 minutes

Scan times for badly infected machines may easily double

Dann schmierte es wieder ab, habs noch 2 mal versucht mit dem selben Resultat.


edit: falls von Bedeutung: bin als Administrator angemeldet.

Hi,

daran ist mit Sicherheit Antivirus XP 2008 nicht schuld,
da muss was schlimmeres nachgezogen worden sein...

Hast Du schon probiert den Rechner über die Systemwiederherstellung auf
einen funktionsfähigen Stand zurückzusetzen?

Hast Du einen zweiten PC mit dem eine Rettungs-CD erstellt werden kann,
bzw. hast Du eine bootfähige CD (XP/Recovery-CD)?

Da ich im HJ-Log nichts sehe (ausser das genannte), denke ich es ist ein Rootkit unterwegs...

Versuche mal das hier:
Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

chris

Zitat:

Zitat von Chris4You

Hast Du schon probiert den Rechner über die Systemwiederherstellung auf
einen funktionsfähigen Stand zurückzusetzen?

Das hab ich irgendwann mal versucht und hatte da irgendwie Probleme, seitdem hab ichs deaktiviert

Zitat:

Zitat von Chris4You

Hast Du einen zweiten PC mit dem eine Rettungs-CD erstellt werden kann,
bzw. hast Du eine bootfähige CD (XP/Recovery-CD)?

Hab meinen alten Rechner grade zum laufen gebracht
Werde da nebenbei auch mal gucken ob ich aktuelle Datenbanken für Kaspersky irgendwie auf den hier transferieren kann.

Zitat:

Zitat von Chris4You

Versuche mal das hier:
Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Da krieg ich beim starten ne Fehlermeldung wegen laden vom Treiber.
Habe mal gegooglet deswegen aber entweder war nix helfendes, oder ich bin gar nicht erst auf die Seite drauf gekommen. Habe auch mal die msvcr71.dll mit der aus dem System32 Verzeichnis getauscht (in beide Richtungen und natürlich mit Backups) aber hat auch nicht geholfen.


Vielen Dank auf jeden Fall schonmal an dich.
Wär ja gelacht wenn man das nicht hinkriegt


edit: lasse grade malware laufen

Hi,

wenn mal MAM durchkommt wäre das super, unbedingt das Log posten...

chris

Heilige Sch...

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1054
Windows 5.1.2600 Service Pack 2

13:28:36 2008-08-15
mbam-log-8-15-2008 (13-28-31).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 258073
Laufzeit: 59 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 29
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 56

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\rqRJApon.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wxljglai.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rqRLBUoP.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1211112d-3320-4800-9466-c1684e3ff2b8} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1211112d-3320-4800-9466-c1684e3ff2b8} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{338590c5-f76a-4106-a510-530688f494e8} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{338590c5-f76a-4106-a510-530688f494e8} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqrlbuop (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenUSave) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv (Rootkit.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\vwsrfton.bmaf (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\vwsrfton.toolbar.1 (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9c97d927 (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjapon -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjapon -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\Save (Adware.WhenUSave) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\hfnylt.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rqRJApon.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nopAJRqr.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nopAJRqr.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\butuecjw.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wjceutub.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wxljglai.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ialgjlxw.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rqRLBUoP.dll (Trojan.Vundo) -> No action taken.
C:\Programme\Save\ACM.dll (Adware.WhenUSave) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\fva1.tmp (Backdoor.ProRat) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXI3GXUR\kb767887[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1UZ8TA3\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temp\dssc32.exe (Rogue.Installer) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4Z1N2IZ5\kb767887[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LQB01E7\Launcher[1].exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XAVKL6B\cntr[1].gif (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XAVKL6B\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5UR4DEV\file[1].exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H3NJT506\Antivirus2008PRO[1].exe (Rogue.Installer) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H3NJT506\CANUL3SR (Trojan.Vundo) -> No action taken.
C:\Games\Warcraft III\Install.exe (Adware.Agent) -> No action taken.
C:\Games\Warcraft III\Files\Frozen Throne.exe (Adware.Agent) -> No action taken.
C:\Games\Warcraft III\Files\Warcraft III.exe (Adware.Agent) -> No action taken.
C:\Games\Warcraft III\Files\World Editor.exe (Adware.Agent) -> No action taken.
C:\Programme\Save\Save.exe (Adware.WhenUSave) -> No action taken.
C:\WINDOWS\ateqoflr.exe (Trojan.Vapsup) -> No action taken.
C:\WINDOWS\edpw.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\wbqxfpgl.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\awtsQJYq.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\bdvynjmj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\huwsww.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mtkispuj.dll (Trojan.Vundo) -> No action taken.
C:\Programme\Save\ffext.mod (Adware.WhenUSave) -> No action taken.
C:\Programme\Save\save.db (Adware.WhenUSave) -> No action taken.
C:\Programme\Save\save.htm (Adware.WhenUSave) -> No action taken.
C:\Programme\Save\SaveUninst.exe (Adware.WhenUSave) -> No action taken.
C:\Programme\Save\store.db (Adware.WhenUSave) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008.lnk (Rogue.Antivirus2008) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\tpabfelq.dll (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Anwendungsdaten\TmpRecentIcons\Antivirus-2008.lnk (Rogue.Link) -> No action taken.
C:\WINDOWS\Temp\CmdLineExt02.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temp\CmdLineExt.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Desktop\Privacy Protector.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Desktop\Error Cleaner.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Favoriten\Error Cleaner.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Favoriten\Privacy Protector.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.


Habe nun alles entfernt. Starte jetzt neu und scanne dann nochmal.

(Gott bin ich froh dass ich meine externen Festplatten direkt entfernt hab, sonst hätt ich 5 Stunden dafür gebraucht )

Hi,

da wird es doch gleich durchsichtiger, da war/ist ein Rootkit der Familie "malware group NtRootK.DR" unterwegs...

Du solltest auf jeden Fall einen Rootkitscanner (Combofix, dort läuft Gmer) oder Antivr-Rootkitscanner zum Laufen bekommen....

Ausserdem bleibt einge gewisse Unsicherheit, was alles auf dem Rechner angestellt wurde (Ports geöffnet etc.)...

Auch der MBR sollte geprüft werden:
MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;

chris

Ich sollte also mal Routereinstellungen prüfen, und sicherheitshalber alle möglichen Passwörter ändern, oder?

Das MBR hat folgendes ausgegeben:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

da scheint alles in ordnung zu sein.

ComboFix ist grade am arbeiten und scheint nicht mehr abzustürzen, das von Avira wollte aber immernoch nicht starten.
Naja, hauptsache eins von beiden läuft! (PC wurde grade neu gestartet, ich editier das Ergebnis nach sobald eins da ist.)

Ich poste auch Sicherheitshalber nochmal das 2te Malwarebytes Log:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1054
Windows 5.1.2600 Service Pack 2

14:47:40 2008-08-15
mbam-log-8-15-2008 (14-47-40).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 257875
Laufzeit: 58 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\rqRJApon.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\rqRLBUoP.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0fea7278-3555-46d0-b3cc-48d03c9e1411} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{0fea7278-3555-46d0-b3cc-48d03c9e1411} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqrlbuop (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\tdssserv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\vwsrfton.bmaf (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\vwsrfton.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjapon -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjapon -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\rqRJApon.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\nopAJRqr.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nopAJRqr.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqRLBUoP.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.


Das ComboFix Log:

Code: Alles auswählenAufklappen

ATTFilter

2008-08-15 15:08      352    --a------    C:\Qoobox\Quarantine\Registry_backups\services_nm.reg.cf


Auflistung der Ordnerpfade
Volumenummer: 9C97-D988
C:\QOOBOX
\---Quarantine
    \---Registry_backups
            services_nm.reg.cf
         

"Administrator" - 2008-08-15 15:06:01 Service Pack 2 [SAFE MODE]
ComboFix 07-05.27.BV - Running from: "C:\Dokumente und Einstellungen\Administrator\Desktop\"


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\nm


((((((((((((((((((((((((((((((( Files Created from 2008-07-15 to 2008-08-15 ))))))))))))))))))))))))))))))))))


2008-08-15 15:00 <DIR> d-------- C:\mbr
2008-08-15 14:50 404,779 --ahs---- C:\WINDOWS\system32\nopAJRqr.ini2
2008-08-15 12:22 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-15 12:22 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-15 12:22 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-15 12:22 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
2008-08-15 12:22 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Malwarebytes
2008-08-15 12:03 99,200 --------- C:\WINDOWS\system32\wxljglai.dll
2008-08-15 11:34 <DIR> d-------- C:\Programme\Avira GmbH
2008-08-15 11:23 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Ashampoo
2008-08-15 08:24 1,740 --a------ C:\WINDOWS\system32\tmp.reg
2008-08-15 07:09 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Miranda
2008-08-15 06:45 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2008-08-15 06:01 323,328 --------- C:\WINDOWS\system32\rqRJApon.dll
2008-08-15 05:56 34,688 --------- C:\WINDOWS\system32\rqRLBUoP.dll
2008-08-15 05:56 <DIR> d-------- C:\DOKUME~1\WALDSC~1\ANWEND~1\TmpRecentIcons
2008-08-09 20:19 <DIR> d-------- C:\DOKUME~1\WALDSC~1\freecol
2008-08-08 15:05 98,304 -ra------ C:\WINDOWS\system32\cmudau.dll
2008-08-08 15:05 917,504 -ra------ C:\WINDOWS\system\cmds3du.dll
2008-08-08 15:05 712,704 -ra------ C:\WINDOWS\system32\a3dpropu.dll
2008-08-08 15:05 712,704 -ra------ C:\WINDOWS\system32\a3d.dll
2008-08-08 15:05 61,440 -ra------ C:\WINDOWS\system\cmsnxeye.exe
2008-08-08 15:05 45,056 -ra------ C:\WINDOWS\system32\cmdrvrmu.dll
2008-08-08 15:05 315,392 -ra------ C:\WINDOWS\system\cmifltr.dll
2008-08-08 15:05 258,048 -r------- C:\WINDOWS\CmiUSB2Uninstall.exe
2008-08-08 15:05 253,952 -ra------ C:\WINDOWS\system32\cmdrvrmu.exe
2008-08-08 15:05 16,384 -ra------ C:\WINDOWS\system32\cmpropu.dll
2008-08-08 15:05 1,414,528 -ra------ C:\WINDOWS\system32\drivers\cmudaxu.sys
2008-08-08 15:05 <DIR> d-------- C:\Programme\USB Headset
2008-08-08 14:48 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-08-08 14:48 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-08-05 01:53 54,784 --a------ C:\WINDOWS\system32\msvci70.dll
2008-08-05 01:53 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-08-05 01:53 25,088 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-08-05 01:53 <DIR> d-------- C:\Programme\Stardock
2008-08-05 01:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Stardock
2008-08-01 12:08 65,032 --a------ C:\WINDOWS\system32\XAPOFX1_0.dll
2008-08-01 12:08 507,400 --a------ C:\WINDOWS\system32\XAudio2_1.dll
2008-08-01 12:08 479,752 --a------ C:\WINDOWS\system32\XAudio2_0.dll
2008-08-01 12:08 467,984 --a------ C:\WINDOWS\system32\d3dx10_38.dll
2008-08-01 12:08 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-08-01 12:08 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll
2008-08-01 12:08 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll
2008-08-01 12:08 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-08-01 12:08 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll
2008-08-01 12:08 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll
2008-08-01 12:08 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_4.dll
2008-08-01 12:08 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
2008-08-01 12:08 238,088 --a------ C:\WINDOWS\system32\xactengine3_1.dll
2008-08-01 12:08 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-08-01 12:08 1,491,992 --a------ C:\WINDOWS\system32\D3DCompiler_38.dll
2008-08-01 12:08 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-08-01 12:08 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll
2008-08-01 12:07 <DIR> d-------- C:\WINDOWS\Logs
2008-07-27 16:15 253,952 --a------ C:\WINDOWS\system32\tvmedia.dll
2008-07-24 23:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Trymedia
2008-07-22 15:25 <DIR> d-------- C:\DOKUME~1\WALDSC~1\ANWEND~1\My Games
2008-07-17 06:01 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lionhead Studios


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2008-08-15 09:34:48 -------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-15 03:38:25 -------- d-----w C:\Programme\DOSBox-0.72
2008-08-01 10:54:46 -------- d-----w C:\Programme\DAEMON Tools Lite
2008-08-01 10:50:02 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-08-01 10:08:40 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-07-23 15:54:28 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-07-20 11:12:18 -------- d-----w C:\Programme\CryptLoad_1.0.4
2008-07-09 14:13:17 -------- d-----w C:\Programme\WAMP
2008-07-08 20:28:47 44,646 ----a-w C:\WINDOWS\War3Unin.dat
2008-07-08 20:21:12 -------- d-----w C:\Programme\Ventrilo
2008-07-08 20:21:00 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-29 15:53:23 -------- d-----w C:\Programme\DivX
2008-06-22 22:14:15 -------- d-----w C:\Programme\Ashampoo
2008-06-18 00:23:14 -------- d-----w C:\Programme\Virtual Villagers
2008-06-18 00:22:37 -------- d-----w C:\Programme\bfgclient
2008-06-15 23:46:10 -------- d-----w C:\Programme\JavaSDK
2008-06-13 22:20:41 144,896 ----a-w C:\WINDOWS\kfnunins.exe
2008-05-30 23:22:58 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-05-30 23:22:54 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-05-30 23:22:54 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-05-30 23:22:54 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-05-30 23:22:54 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-05-30 23:22:54 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-05-30 23:22:48 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-05-30 23:22:48 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-05-30 23:22:48 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-05-30 23:22:46 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-05-30 23:22:46 683,520 ----a-w C:\WINDOWS\system32\DivX.dll
2008-05-22 22:22:22 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-05-22 22:22:18 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-05-22 22:20:42 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-22 22:20:42 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-22 22:19:46 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-05-22 22:19:46 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-05-22 22:19:12 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-22 22:18:54 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{00C6482D-C502-44C8-8409-FCE54AD9C208}=C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll [2007-05-16 11:39]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2008-07-07 09:41]
{661778F7-CDDA-4611-99B0-43245C7E971D}=C:\WINDOWS\system32\rqRLBUoP.dll [2008-08-15 05:56]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_06\bin\ssv.dll [2008-03-25 04:28]
{AF15420F-72F7-4262-BA4C-3F0B35670D1C}=C:\WINDOWS\system32\rqRJApon.dll [2008-08-15 06:02]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" []
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 16:27]
"nwiz"="nwiz.exe" [2007-12-05 01:41 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2007-12-05 01:41 C:\WINDOWS\system32\nvmctray.dll]
"CmUsbSound"="cmcnfgu.cpl" []
" Malwarebytes Anti-Malware (reboot)"="C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" [2008-07-30 20:07]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"FlashPlayerUpdate"=C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
"combofix"=C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{661778F7-CDDA-4611-99B0-43245C7E971D}"="C:\WINDOWS\system32\rqRLBUoP.dll" [2008-08-15 05:56]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRLBUoP]
rqRLBUoP.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0 C:\WINDOWS\system32\rqRJApon

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\tdssserv.sys]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^WaldschratMX^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\WaldschratMX\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^WaldschratMX^Startmenü^Programme^Autostart^VirtuaGirl HD.LNK]
path=C:\Dokumente und Einstellungen\WaldschratMX\Startmenü\Programme\Autostart\VirtuaGirl HD.LNK
backup=C:\WINDOWS\pss\VirtuaGirl HD.LNKStartup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage]
"C:\Programme\AdVantage\AdVantage.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
"C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
"C:\Programme\DAEMON Tools Pro\DTProAgent.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
"C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
"C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Packard Bell Software Suite]
C:\Programme\Packard Bell\Packard Bell Software Suite\Launcher.exe /run

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
SkyTel.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
"C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave]
"C:\Programme\Save\Save.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
UxTuneUp


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
AutoRun\command- F:\ClickMe.exe


Contents of the 'Scheduled Tasks' folder
2008-08-08 15:15:50 C:\WINDOWS\tasks\1-Klick-Wartung.job

********************************************************************

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-15 15:11:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

Completion time: 2008-08-15 15:13:50 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2008-08-15 15:13

--- E O F ---




Ich starte jetzt nochmal den Malwarebytes im Quickscan und hoffe das beste.

Hi,

gut dann warte ich noch etwas, wollte gerade Schluß für heute machen!

chris

19 Infektionen noch
1x Adware.WhenUSave
2x Trojan.Fakealert
16x Trojan.Vundo

Das scheint Malware nicht wegzukriegen


Nochmals vielen herzlichen Dank für deine Hilfe und jetzt auch noch deine extra Zeit
Ich bin auch so gnädig und entlasse dich nach deiner nächsten Antwort

Ich muss nämlich auch in 30 Minuten weg. Hoffe aber, falls gleich nochwas zu erledigen ist krieg ich es irgendwie alleine hin. Ansonsten warte ich halt. Notfalls komm ich auch ne Zeitlang ohne den Rechner aus.


Edit: Kaspersky konnte aktiviert werden. Werde da jetzt nochmal updaten, dann erstmal nochmal den SmitfraudFix laufen lassen und dann mit Kaspersky einen Rootkit und dann einen FullScan durchführen, es sei denn du empfiehlst mir nochwas anderes

Hi,

got it:

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\system32\rqRJApon.dll
C:\WINDOWS\system32\rqRLBUoP.dll
C:\WINDOWS\system32\drivers\sptd.sys
C:\Programme\Save\Save.exe
F:\ClickMe.exe

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRLBUoP

Registry values to replace with dummy: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 

Files to delete:
C:\WINDOWS\system32\rqRJApon.dll
C:\WINDOWS\system32\rqRLBUoP.dll
C:\WINDOWS\system32\tmp.reg
F:\ClickMe.exe

Folders to delete:
C:\Programme\Save
         

ACHTUNG: eines der Viecher ([HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\lsa]
Authentication Packages msv1_0 C:\WINDOWS\system32\rqRJApon)
hat sich in LSA reingeschlichen, das kann u. U. Internetprobleme nach sich ziehen!

chris

Sooo. Dieses Thema hätte sich erledigt

Ich habe alles nach deinen Anweisungen ausgeführt, hat wunderbar funktioniert. Habe dann noch ein paar mal alle Scanner die ich im Laufe dieses Themas benutzt habe nochmal durchlaufen lassen um auch die letzten Reste zu bereinigen. Und es ist nun alles sauber.

Leider hat mein System wohl die Eingriffe nicht ganz so gut überstanden. Es ist langsam ohne Ende, ziemlich oft Abstürze der explorer.exe (auch im abgesicherten Modus), ich muss öfters resetten bis er Windows richtig lädt, etc. und das ganze halt wahrscheinlich ohne Fremdeinwirkung. (Alle hier genannten Programme finden wie gesagt nichts mehr.)
Daher bin ich grade dabei meine Daten zu sichern und werde dann formatieren.

Immerhin hätte ich wohl ohne deine Hilfe meine Daten nicht retten können, immerhin ein guter Teil Kreativdaten, die wohl für immer verloren gegangen wären.

Man kann dieses Board nur weiterempfehlen, viel Kompetenz, Einsatz und Geduld. Alles was man sich wünscht wenn man Hilfe sucht.

Hi,

wenn Du willst kannst Du das hier probieren:
Systemdateien prüfen:
sfc /scannow

Von der CD wird das dllcache-Verzeichnis aktualisiert. Hierbei verlangt XP leider immer die Professional-CD, auch bei XP Home.
Dafür gibt es eine Umgehung. Man kopiert den I386-Ordner von der XP-Home-CD auf die Festplatte. Anschliessend modifiziert
man die Registry so, dass XP von diesem Verzeichnis aus repariert. Damit wird der Zugriff auf die CD nahezu komplett ausgeschlossen.
Schritt 1
Lege die XP-CD ein und suche den Ordner mit folgendem Namen:
I386
Dies ist der Hauptordner und und sollte unter den ersten sein, die du siehst. Kopiere ihn jetzt auf dein Systemlaufwerk.
Für die meisten sollte das das Laufwerk C:\ sein. Wenn du fertig bist, hast du einen Ordner der so aussieht: C:\I386
-----------------------------
Schritt 2
Nun musst du dem Computer noch das neue Verzeichnis bekannt geben. Das geschieht in der Registry (Start > ausführen >regedit)
und navigiere zu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
Dort siehst du auf der rechten Seite verschiedene Einträge. Du änderst den folgenden:
SourcePath
Hier ist vermutlich ein Verweis auf dein CD-ROM-Laufwerk, und deshalb fragt er nach der XP CD. Alles was erforderlich ist, ist den Eintrag wie folgt zu ändern:
C:\
Einfach auf den Wert doppelklicken und es geht ein Fenster auf, wo du den neuen Wert eintragen kannst.
Nun starte deinen Computer neu und versuche scannow sfc noch einmal!

chris