Hallo, ich hoffe ihr könnt mir helfen:
Ich habe ne Flashplayer für mein Browser loaden wollen, leider entpupte sich die Exe als Trojaner.
Ich habe mit Spyware und auch schon mit Malwarebytes versucht die Trojaner wieder loszuwerden, jedoch sind sie nach jedem boot einfach wieder da.

Die spyware versucht mit die ganze Zeit Antiviren-Programme zu verkaufen, und färbt meinen Hintergrund Blau. Taskmanager und Hintergrundgrafik-Eigenschaften lassen sich erst nach löschen der Viren mit Spyware öffnen.
Aber das Problem beheben tuts ja nicht


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:54:33, on 15.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ad-Aware\aawservice.exe
D:\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vqbchqns\bedchqfi.exe
C:\WINDOWS\system32\Rundll32.exe
D:\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Winamp\winampa.exe
D:\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UMonit.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\lphc9t2j0e36p.exe
C:\WINDOWS\Common\obsboxib.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\kporodod.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\QIP\qip.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
D:\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\explorer.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\kporodod.exe
C:\Dokumente und Einstellungen\Stucki\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qip.ru
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avgnt] "D:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\UMonit.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Programme\RivaTuner v2.09\RivaTuner.exe" /S
O4 - HKLM\..\Run: [lphc9t2j0e36p] C:\WINDOWS\system32\lphc9t2j0e36p.exe
O4 - HKLM\..\Run: [SMrhcct2j0e36p] C:\Programme\rhcct2j0e36p\rhcct2j0e36p.exe
O4 - HKLM\..\Run: [monweb] C:\WINDOWS\Common\obsboxib.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [StatBar] C:\Programme\Globe Software\StatBar\StatBar.exe
O4 - HKCU\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [srvsmart] C:\WINDOWS\system32\kporodod.exe
O4 - HKLM\..\Policies\Explorer\Run: [4QCg11LG0F] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vqbchqns\bedchqfi.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3F78FA9-B259-45A6-A381-754B2ADCF7A4}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WebMsg - {26245F6A-4267-C161-ED30-09100AEB6DB0} - C:\Programme\yqpfwoc\WebMsg.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)

--
End of file - 6383 bytes

Halli hallo stucki

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  XP_ dingens.org
  Vista_ TechNET
  .
• Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  XP_ Firewall
  Vista_ Firewall
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

Deinstalliere bitte AdAware!


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vqbchqns\bedchqfi.exe
C:\WINDOWS\system32\lphc9t2j0e36p.exe
C:\WINDOWS\Common\obsboxib.exe
C:\WINDOWS\system32\kporodod.exe
C:\Programme\yqpfwoc\WebMsg.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Zitat:

Datei obsboxib.exe empfangen 2008.08.16 11:53:04 (CET)
Status:
Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)

Dazu findet er keinen.

Was ist mit den Anderen Dateien/Auswertungen? Poste die bitte wie beschrieben.

Zur obsboxib.exe:

Mache bitte eine Kopie der Datei und benne sie um in obsboxib.#vir#exe

Diese schicke per Mail oder Uploader an Virustotal. http://www.virustotal.com/de/metodos.html

Zitat:

Datei obsboxib._vir_exe empfangen 2008.08.22 14:31:48 (CET)
Status: Beendet
Ergebnis: 0/36 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.22 -
Authentium 5.1.0.4 2008.08.22 -
Avast 4.8.1195.0 2008.08.21 -
AVG 8.0.0.161 2008.08.22 -
BitDefender 7.2 2008.08.22 -
CAT-QuickHeal 9.50 2008.08.21 -
ClamAV 0.93.1 2008.08.22 -
DrWeb 4.44.0.09170 2008.08.22 -
eSafe 7.0.17.0 2008.08.21 -
eTrust-Vet 31.6.6040 2008.08.22 -
Ewido 4.0 2008.08.22 -
F-Prot 4.4.4.56 2008.08.21 -
F-Secure 7.60.13501.0 2008.08.22 -
Fortinet 3.14.0.0 2008.08.22 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.22 -
K7AntiVirus 7.10.423 2008.08.21 -
Kaspersky 7.0.0.125 2008.08.22 -
McAfee 5367 2008.08.21 -
Microsoft 1.3807 2008.08.22 -
NOD32v2 3380 2008.08.22 -
Norman 5.80.02 2008.08.21 -
Panda 9.0.0.4 2008.08.22 -
PCTools 4.4.2.0 2008.08.21 -
Prevx1 V2 2008.08.22 -
Rising 20.58.42.00 2008.08.22 -
Sophos 4.32.0 2008.08.22 -
Sunbelt 3.1.1571.1 2008.08.22 -
Symantec 10 2008.08.22 -
TheHacker 6.3.0.6.058 2008.08.22 -
TrendMicro 8.700.0.1004 2008.08.22 -
VBA32 3.12.8.4 2008.08.21 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.21 -
Webwasher-Gateway 6.6.2 2008.08.22 -
weitere Informationen
File size: 57344 bytes
MD5...: bbfb6e9a2ad8887b968f60bc6f4eefbd
SHA1..: 835707dcdc488b995cc064f1b5fb052738bc984b
SHA256: d114be28f6a18b739ef440f587a8480afe9c33ca498d8fab1fda8cf8d84d8f66
SHA512: 9213f9f0be28687312b80a9cf886ee721390344831dc54962f8c38c7f4413902
80a6d3b8a63a929b57582b89656e01d4fbb6c6e7218a57d2a17fee3eb5824660
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401b43
timedatestamp.....: 0x48a55439 (Fri Aug 15 10:02:33 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.qiktls 0x1000 0xa454 0xb000 6.55 2e9014c161fe6db27b5114e8e2df5c94
.wpvlz 0xc000 0x65a 0x1000 2.54 83ef0777c92fa163d3191d0dba303e51
.woqwiz 0xd000 0x860 0x1000 0.42 01f12261bcfb8a3155352837b94aacaa

( 4 imports )
> KERNEL32.dll: GetLocalTime, DeleteFileW, GlobalAddAtomW, SetEndOfFile, SetFilePointer, WritePrivateProfileStringW, FindNextFileW, GetVersion, LoadResource, FreeLibrary, GetProcAddress, FindResourceExW, lstrcpyW, LoadLibraryW, GetPrivateProfileStringW, GetFileSize, SuspendThread, MoveFileW, GetLogicalDrives, VirtualFree, WaitForSingleObject, DuplicateHandle, ResetEvent, CreateThread, GlobalLock, SetThreadPriority, LoadLibraryA, WideCharToMultiByte, CancelWaitableTimer, GlobalAlloc
> USER32.dll: CreatePopupMenu, SystemParametersInfoW, CreateWindowExW, GetSystemMetrics, MessageBoxW, SendMessageW, GetWindowThreadProcessId, IsDlgButtonChecked, LoadIconW, PostMessageW, AppendMenuW, DialogBoxParamW, DefWindowProcW, GetWindowRect, LoadCursorW
> GDI32.dll: CreateRoundRectRgn, CreateSolidBrush, CreateICW, GetStockObject, DeleteDC, CreatePen, GetClipBox, CreateCompatibleBitmap, Rectangle
> ADVAPI32.dll: RegCloseKey, LookupPrivilegeValueW, GetUserNameW

( 0 exports )

Bei den restlichen zeigt er mir eine Dateingröße von 0 An und sagt er könne sie nicht laden.

Zitat:

0 bytes size received / Se ha recibido un archivo vacio

Heisst das, die sind schon von meinem AVG gelöscht worden?
Habe neuerdings in meinem Taskmanager auch sowas :

Zitat:

C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cas.exe
C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25car.exe
C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25caq.exe
C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cap.exe
C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cao.exe
C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cai.exe
C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cah.exe
C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cag.exe
C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25caf.exe
C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cae.exe
C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cad.exe
C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cac.exe
C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cab.exe
C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25caa.exe

Aber auch da ergibt der Test eine größe von 0.

für letzteres habe ich folgendes gefunden. das bezieht sich zwar nur auf eine davon, aber dürfte äquivalent auf alle anderen anwendbar sein:

1. Temporarily Disable System Restore .

2. Update the virus definitions. Reboot computer in SafeMode,;

3.Stop 60325CAHP25CAA.EXE removal virus files process if you can find on the task list;

4. Locate 60325CAHP25CAA.EXE removal virus files and double-click on it to uninstall virus files program. Follow the screen step-by-step screen instructions to complete uninstallation of 60325CAHP25CAA.EXE removal. Do not worry about this if you cannot find it in Add/Remove window.

5. Delete/Modify any values added to the registry related with 60325CAHP25CAA.EXE removal,Exit registry editor and restart the computer;

6.Clean/delete all infected file(s):60325CAHP25CAA.EXE removal,or rename 60325CAHP25CAA.EXE removal virus files;

7.Please delete all your IE temp files manually

8.Use antivirus program run a whole scan