ein herzliches hallo an die helfer/innen,
dies ist mein erstes mal (hier) - ich hoffe ihr seid gut zu mir

seit drei tagen habe ich probleme. ich versuchs kurz und trotzdem klar zu machen: nach dem hochfahren habe ich mittlerweile dauerhaft eine warngrafik im auf dem desktop (windows warning message mit den bereits hier behandelten spywares: win32/adware.virtumonde und win32/ privacyremoverM64). mein eigentliches desktop-hintergrundbild ist verschwunden (weisser screen).

avira bringt zu beginn immer virenmeldunge mit unterschiedlichen dateiangaben. später dann im intervall von etwa 10 minuten hinweise auf erkannte trojaner (z.b. TR/unpacked.gen) u.a.. ich wähle abwechselnd löschen, zugriff verweigern und in quarantäne veschieben: ohne erfolg. im weiteren verlauf meldet sich windows mit einem
-security alert- (z.b. trojan-clicker.win32.tiny.h).

bisherige maßnahmen:
1. hoffen und bangen 2. prüfungen mit avira premium, malwarebytes, spybot. die datei svchost.exe wollte ich schonmal bei virustotal scannen, da ich einen ähnlichen fall hier las, aber ich finde die datei nicht (obwohl in meiner systemsteuerung/ordneroptionen dbzgl alles korrekt aktiviert ist).

hier jetzt mein logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:42:13, on 28.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\verify-U_AVS\[verify-U]-Service.exe
C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn\gjkjcvcl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\lphc5djj0evcv.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\yfitingp.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Suitcase_extensis\Suitcase.exe
C:\Programme\verify-U_AVS\[verify-U]-Software.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.****.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [lphc5djj0evcv] C:\WINDOWS\system32\lphc5djj0evcv.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [sysui] C:\WINDOWS\system32\yfitingp.exe
O4 - HKCU\..\Run: [wininfo] C:\WINDOWS\system32\clqfyxqn.exe
O4 - HKCU\..\Run: [dbutilstr] C:\WINDOWS\system32\unehixkj.exe
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\ApcMain.exe -m
O4 - HKCU\..\Run: [ComAplCmd] C:\WINDOWS\system32\xabmtadc.exe
O4 - HKLM\..\Policies\Explorer\Run: [x6qzreL6E9] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn\gjkjcvcl.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Suitcase 11.0.lnk = ?
O4 - Global Startup: [verify-U]-Software.lnk = C:\Programme\verify-U_AVS\[verify-U]-Software.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.maxdome.de
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198710358656
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O21 - SSODL: infoactproc - {68F1E78F-722E-9193-1783-03C78BF918B6} - C:\Programme\qlbwxcd\infoactproc.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: [verify-U]-Service ([verify-U]) - Cybits Systems Security GmbH - C:\Programme\verify-U_AVS\[verify-U]-Service.exe

--
End of file - 14314 bytes


ich danke jedenfalls schonmal ganz arg in der hoffnung auf nicht allzu großen schaden...

Hi,

MAM runterladen&installieren&updaten, dann Combofix downloaden, Anleitung ausdrucken.

Malwarebytes Antimalware (MAM).
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Erst später hier weitermachen:
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Bitte folgende Files prüfen:

Zitat:

C:\Programme\qlbwxcd\infoactproc.dll
C:\Programme\verify-U_AVS\[verify-U]-Software.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn\gjkjcvcl.exe
C:\WINDOWS\system32\xabmtadc.exe
C:\WINDOWS\system32\lphc5djj0evcv.exe
C:\WINDOWS\system32\yfitingp.exe
C:\WINDOWS\system32\clqfyxqn.exe

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste die Ergebnisse mit Filename!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|lphc5djj0evcv
 
Files to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn\gjkjcvcl.exe
C:\WINDOWS\system32\xabmtadc.exe
C:\WINDOWS\system32\lphc5djj0evcv.exe
C:\WINDOWS\system32\yfitingp.exe
C:\WINDOWS\system32\clqfyxqn.exe
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Policies\Explorer\Run: [x6qzreL6E9] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn\gjkjcvcl.exe
O4 - HKCU\..\Run: [ComAplCmd] C:\WINDOWS\system32\xabmtadc.exe
O4 - HKCU\..\Run: [dbutilstr] C:\WINDOWS\system32\unehixkj.exe
O4 - HKCU\..\Run: [wininfo] C:\WINDOWS\system32\clqfyxqn.exe
O4 - HKCU\..\Run: [sysui] C:\WINDOWS\system32\yfitingp.exe
O4 - HKLM\..\Run: [lphc5djj0evcv] C:\WINDOWS\system32\lphc5djj0evcv.exe
         

Jetzt offlien gehen und anschließend MAM und ComboFix laufen&bereinigen lassen, poste das Log...

Chris

1000 thanks erstmal @chris!
bin eben erst von der arbeit zurück gekommen.

werde alles der reihe nach abarbeiten - das wird etwas dauern.
melde mich heute abend/nacht noch mit dem ergebnis.

here we go:

der reihe nach, was geschah, bzw. nicht geschah...

1. MAM aktualisiert, noch kein scan durchgeführt.
2. download combofix - leider war das abspeichern auf desktop nicht möglich und das programm "rannte gleich durch". autom. neustart. schreiben von logdatei. in dem zusammenhang meldet sich avira: habe dann die datei catchme.tmp zugelassen, da ich dachte die gehört zu combofix.
3. avenger ausgeführt - dateien wurden gelöscht. nach dem neustart zeigt windows fehlerfenster: exception processing message c0000013 parameters usf..... avira meldet sich wieder mit versuchten verbindungsaufbauten, z.b unehixkj.exe und jizsvqtk.exe; dieses mal verweigert.
4. über HijackThis konnte ich die letzte angegebene zeile nicht mehr finden
(O4 - HKLM\..\Run: [lphc5djj0evcv] C:\WINDOWS\system32\lphc5djj0evcv.exe). alle anderen wurden gefixt.
5. virus total: die erste zeile hatte ein ergebnis; die zweite keinen fund. alle anderen (zeile 3 bis 7) nicht mehr gefunden (vermutlich bereits gelöscht).

hier der text zur ersten zeile
(C:\Programme\qlbwxcd\infoactproc.dll)

Sophos 4.33.0 2008.08.28 Mal/EncPk-DG

File size: 110592 bytes
MD5...: cfecec1853bc1e952be70ca3a74498af
SHA1..: b33ae40cf006e7849ffd8acd1d18274c04431fd4
SHA256: bafa44ca7f6d12c33be9b5258449baf944a36f5288f6caa2aefd07cce54169d5
SHA512: ebe3cf69e32460b00367aa6a7cd6679ebb2c3a869656d13435f879ba6a605df7
7ffa02521c235f4a40dd21cc7bc1a0f33fede20becc48a98cc1bf4f47b1fdbe1
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)


PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10015779
timedatestamp.....: 0x48b1157b (Sun Aug 24 08:02:03 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.iweg 0x1000 0x15744 0x16000 6.74 b52657d669f78225fc1ac1157967d946
.nnyvo 0x17000 0x6d1 0x1000 2.77 5091037c63ccd7e05b3e67f05fe6fafe
.biire 0x18000 0x1f48 0x1000 0.66 3f710d0a0cf3e4d373ebef54498af79f
.reloc 0x1a000 0x1942 0x2000 6.00 db73322e7394f5dcc7757b85256cfd22

( 4 imports )
> KERNEL32.dll: lstrcpyW, LoadLibraryA, WriteFile, GlobalAddAtomW, GlobalLock, GetProcAddress, CreateEventW, LockResource, lstrlenW, GetSystemTime, SetCurrentDirectoryW, FindNextFileW, GetCurrentProcess, SetThreadPriority, SetLastError, GetFileSize, CancelWaitableTimer, FileTimeToSystemTime, GetTickCount, GetVersion, CreateProcessW, FreeLibrary, MultiByteToWideChar, DuplicateHandle, FindNextChangeNotification, GetModuleFileNameW, WritePrivateProfileStringW
> USER32.dll: DispatchMessageW, OffsetRect, RegisterHotKey, IsWindow, SetCursor, FillRect, GetDlgItem, LoadBitmapW, SendDlgItemMessageW, GetWindowRect, MessageBoxW, SetForegroundWindow, SetWindowPos, SystemParametersInfoW, GetParent, RegisterClassExW
> GDI32.dll: SetTextColor, SetMapMode, SetDIBits, DPtoLP, GetMapMode, CreateICW, CreateSolidBrush, GetStockObject, GetDeviceCaps
> ADVAPI32.dll: RegCloseKey, RegNotifyChangeKeyValue, LookupPrivilegeValueW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer


6. nach dem neustart waren jetzt zum ersten mal die windows- und avira -fehlermeldungen verschwunden.

7. MAM-quick-scan durchgeführt - 9 dateien gefunden und gelöscht. ebenso die noch in quarantäne befindlichen. den vollständigen scan musste ich nach knapp einer stunde (ca. 30.000 dateien) abbrechen, da ich ca. 15.000 schriftdateien habe, für eine schrift wird tendentiell ca. 1 sekunde benötigt!

8. nochmal combofix durchgeführt;
hier das logfile dazu:

ComboFix 08-08-28.02 - paxx 2008-08-28 23:13:35.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1454 [GMT 2:00]
ausgeführt von:: C:\downloads\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-28 bis 2008-08-28 ))))))))))))))))))))))))))))))
.

2008-08-28 20:50 . 2008-08-28 20:50 102,400 --a------ C:\WINDOWS\system32\jizsvqtk.exe
2008-08-28 20:35 . 2008-08-28 20:35 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-28 20:35 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-28 20:35 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-28 01:09 . 2008-08-28 01:09 7,680 --ahs---- C:\WINDOWS\Thumbs.db
2008-08-27 23:24 . 2008-08-27 23:24 203,776 --a------ C:\WINDOWS\system32\bmtgfafq.exe
2008-08-27 22:57 . 2008-08-27 23:03 <DIR> d-------- C:\Programme\Ascentive
2008-08-27 22:57 . 2008-05-05 14:08 208,896 --a------ C:\WINDOWS\system32\ConTest.dll
2008-08-27 22:57 . 2007-10-17 10:19 20,480 --a------ C:\WINDOWS\system32\SysRestore.dll
2008-08-27 22:43 . 2008-08-27 22:55 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-08-27 22:16 . 2008-08-27 22:23 <DIR> d-------- C:\Programme\PC Security Test 2008
2008-08-27 21:40 . 2008-08-27 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-08-26 07:58 . 2008-08-26 07:58 94,208 --a------ C:\WINDOWS\system32\unehixkj.exe
2008-08-25 23:21 . 2008-08-25 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\Malwarebytes
2008-08-25 23:21 . 2008-08-25 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-25 23:15 . 2008-08-25 23:15 <DIR> d-------- C:\Programme\Trend Micro
2008-08-25 22:10 . 2008-08-25 22:10 <DIR> d-------- C:\Programme\Typograph
2008-08-24 14:38 . 2008-08-28 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\Extensis
2008-08-24 14:38 . 2008-08-28 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Extensis
2008-08-24 14:34 . 2008-08-24 14:34 <DIR> d-------- C:\Programme\Suitcase_extensis
2008-08-24 11:04 . 2008-08-24 11:04 <DIR> d-------- C:\Programme\qlbwxcd
2008-08-24 11:04 . 2008-08-28 21:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn
2008-08-19 01:02 . 2008-08-19 01:02 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-19 01:02 . 2008-08-19 01:02 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-19 01:02 . 2008-08-19 01:02 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-18 22:41 . 2008-04-14 04:22 1,306,624 -----c--- C:\WINDOWS\system32\dllcache\msxml6.dll
2008-08-15 17:36 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-15 17:36 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-27 21:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-27 20:57 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-27 19:50 --------- d-----w C:\Programme\Wise Registry Cleaner
2008-08-25 22:17 --------- d-----w C:\Programme\FRITZ!Box
2008-08-12 19:20 --------- d-----w C:\Programme\No23 Recorder
2008-08-01 18:34 --------- d-----w C:\Programme\Hardcopy
2008-07-29 19:21 --------- d-----w C:\Programme\Java
2008-07-18 18:54 --------- d-----w C:\Programme\FreePDF_XP
2008-07-13 12:01 --------- d-----w C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\U3
2008-07-02 20:42 --------- d-----w C:\Programme\Gemeinsame Dateien\EPSON
2008-07-02 20:41 --------- d-----w C:\Programme\EPSON
2008-03-30 14:42 133,912 ----a-w C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-25 21:53 14 ----a-w C:\Dokumente und Einstellungen\paxx\getfile.dat
2007-11-25 15:35 96,374 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2003-12-07 22:39 62,419,889 ----a-w C:\Programme\Macromedia.Dreamweaver.MX.v6.0.GERMAN.WiN32-oDDiTy.rar
2007-12-25 15:50 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-08-28_20.52.26.53 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-08-28 18:46:44 793,920 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-08-28 21:17:21 793,920 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 03:23 443968]
"Performance Center"="C:\Programme\Ascentive\Performance Center\ApcMain.exe" [2008-03-13 17:35 3239936]
"AdmSetApi"="C:\WINDOWS\system32\jizsvqtk.exe" [2008-08-28 20:50 102400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 16:36 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-03-21 18:23 1953792]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 02:08 483328]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 21:27 312320]
"AVMFBoxMonitor"="C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" [2007-05-08 03:00 1482752]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-12-11 11:56 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 13:10 267048]
"OSSelectorReinstall"="C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-09 17:29 2224104]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-08-31 19:35 2622232]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-08-31 19:43 907040]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-08-31 19:38 140568]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"avgnt"="C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-07-17 21:43 266497]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 16:49 16126464 C:\WINDOWS\RTHDCPL.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 04:10 55824 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"infoactproc"= {68F1E78F-722E-9193-1783-03C78BF918B6} - C:\Programme\qlbwxcd\infoactproc.dll [2008-08-24 11:04 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2007-11-15 11:10 72208 c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Suitcase_extensis\\Bonjour\\mDNSResponder.exe"=

R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-01-22 23:50]
R1 avfwot;avfwot;C:\WINDOWS\system32\DRIVERS\avfwot.sys [2008-05-10 00:03]
R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-07-17 21:43]
R2 AntiVirMailService;Avira Premium Security Suite MailGuard;C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe [2008-07-17 21:43]
R2 antivirwebservice;Avira Premium Security Suite WebGuard;C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-07-17 21:43]
R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-07-17 21:43]
R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-08-31 20:49]
R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-07-12 11:03]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2007-03-15 16:12]
R3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys [2008-05-10 00:03]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-07-12 11:03]
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-08-17 15:01]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2008-04-08 C:\WINDOWS\Tasks\HP DArC Task #Hewlett-Packard#hp psc 2400 series#1207679524.job
- C:\Programme\HP\hpcoretech\comp\hpdarc.exe []

2008-04-13 C:\WINDOWS\Tasks\HP DArC Task #Hewlett-Packard#hp psc 2400 series#1208093426.job
- C:\Programme\HP\hpcoretech\comp\hpdarc.exe []
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\Mozilla\Firefox\Profiles\f0fyal0g.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 23:18:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
"ImagePath"="\"C:\Programme\verify-U_AVS\
[verify-U]-Service.exe\""

"ImagePath"="system32\drivers\
[verify-U]-driver.sys"


[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\[verify-U]]
"ImagePath"="\"C:\Programme\verify-U_AVS\

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\[verify-U]_System]
"ImagePath"="system32\drivers\
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\verify-U_AVS\[verify-U]-Service.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Suitcase_extensis\Suitcase.exe
C:\Programme\verify-U_AVS\[verify-U]-Software.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-28 23:23:40 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-28 21:23:23
ComboFix2.txt 2008-08-28 18:52:58

Pre-Run: 16 Verzeichnis(se), 142,691,377,152 Bytes frei
Post-Run: 18 Verzeichnis(se), 142,678,077,440 Bytes frei

191 --- E O F --- 2008-08-19 21:52:56


9. last not least kommt der aktuelle hijackthis!
mit dem nächsten eintrag



PUHHHHHHHHHHHHHH

STATUS QUO

- "nur" noch windows-warnhinweise (security-alerts: trojan-spy...)
- das "eingebrannte" warnfenster auf meinem desktop ist weg. avira meldet keine viren mehr.
- mein desktophintergrund ist blau.
- ich bin etwas erleichert, aber wahrscheinlich ist noch was zu tun...

...und hier wie angekündigt das aktuelle logfile (hijack):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:30:19, on 28.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\verify-U_AVS\[verify-U]-Service.exe
C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\jizsvqtk.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Suitcase_extensis\Suitcase.exe
C:\Programme\verify-U_AVS\[verify-U]-Software.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.horn-gmbh.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\ApcMain.exe -m
O4 - HKCU\..\Run: [AdmSetApi] C:\WINDOWS\system32\jizsvqtk.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Suitcase 11.0.lnk = ?
O4 - Global Startup: [verify-U]-Software.lnk = C:\Programme\verify-U_AVS\[verify-U]-Software.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.maxdome.de
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198710358656
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O21 - SSODL: infoactproc - {68F1E78F-722E-9193-1783-03C78BF918B6} - C:\Programme\qlbwxcd\infoactproc.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: [verify-U]-Service ([verify-U]) - Cybits Systems Security GmbH - C:\Programme\verify-U_AVS\[verify-U]-Service.exe

--
End of file - 13378 bytes


1.000 dank so far! :aplaus:

es sieht im allgemeinen (als laie empfunden) schon viel besser aus, ist aber wohl noch was zu tun...

ich bin guter dinge, dass das wird.

in gespannter erwartung auf den sieg über die biester verbleibe ich:
paxxtrax

Hi,

falls sich in der Zwischenzeit nichts neues eingeschlichen hat (die letzte "Neuerung" ist vom 2008-08-28 20:50!), ist folgendes noch zu prüfen und wahrscheinlich zu eliminieren:

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\system32\bmtgfafq.exe
C:\WINDOWS\system32\unehixkj.exe
C:\WINDOWS\system32\jizsvqtk.exe
C:\Programme\qlbwxcd\infoactproc.dll *
C:\Programme\Ascentive\Performance Center\ApcMain.exe *

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Die mit * gekennzeichneten habe ich unten aus dem Script mal rausgelassen,
falls z.B. die infoactproc.dll erkannt wird, unten bei Files to delete
mit Pfad mit aufnehmen....

Poste ansonsten das Ergbeniss mit Filename, damit ich weis mit was wir
es zu tun haben (hab da zwar so eine Ahnung...)

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\bmtgfafq.exe
C:\WINDOWS\system32\unehixkj.exe
C:\WINDOWS\system32\jizsvqtk.exe
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [AdmSetApi] C:\WINDOWS\system32\jizsvqtk.exe
         

Dann bitte noch ein neues HJ-Log...

Chris