permanente windows-warnhinweise und avira-virenmeldungen

paxxtrax · 28.08.2008, 00:17

ein herzliches hallo an die helfer/innen,
dies ist mein erstes mal (hier) - ich hoffe ihr seid gut zu mir

seit drei tagen habe ich probleme. ich versuchs kurz und trotzdem klar zu machen: nach dem hochfahren habe ich mittlerweile dauerhaft eine warngrafik im auf dem desktop (windows warning message mit den bereits hier behandelten spywares: win32/adware.virtumonde und win32/ privacyremoverM64). mein eigentliches desktop-hintergrundbild ist verschwunden (weisser screen).

avira bringt zu beginn immer virenmeldunge mit unterschiedlichen dateiangaben. später dann im intervall von etwa 10 minuten hinweise auf erkannte trojaner (z.b. TR/unpacked.gen) u.a.. ich wähle abwechselnd löschen, zugriff verweigern und in quarantäne veschieben: ohne erfolg. im weiteren verlauf meldet sich windows mit einem
-security alert- (z.b. trojan-clicker.win32.tiny.h).

bisherige maßnahmen:
1. hoffen und bangen 2. prüfungen mit avira premium, malwarebytes, spybot. die datei svchost.exe wollte ich schonmal bei virustotal scannen, da ich einen ähnlichen fall hier las, aber ich finde die datei nicht (obwohl in meiner systemsteuerung/ordneroptionen dbzgl alles korrekt aktiviert ist).

hier jetzt mein logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:42:13, on 28.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\verify-U_AVS\[verify-U]-Service.exe
C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn\gjkjcvcl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\lphc5djj0evcv.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\yfitingp.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Suitcase_extensis\Suitcase.exe
C:\Programme\verify-U_AVS\[verify-U]-Software.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.****.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [lphc5djj0evcv] C:\WINDOWS\system32\lphc5djj0evcv.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [sysui] C:\WINDOWS\system32\yfitingp.exe
O4 - HKCU\..\Run: [wininfo] C:\WINDOWS\system32\clqfyxqn.exe
O4 - HKCU\..\Run: [dbutilstr] C:\WINDOWS\system32\unehixkj.exe
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\ApcMain.exe -m
O4 - HKCU\..\Run: [ComAplCmd] C:\WINDOWS\system32\xabmtadc.exe
O4 - HKLM\..\Policies\Explorer\Run: [x6qzreL6E9] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn\gjkjcvcl.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Suitcase 11.0.lnk = ?
O4 - Global Startup: [verify-U]-Software.lnk = C:\Programme\verify-U_AVS\[verify-U]-Software.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.maxdome.de
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198710358656
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O21 - SSODL: infoactproc - {68F1E78F-722E-9193-1783-03C78BF918B6} - C:\Programme\qlbwxcd\infoactproc.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: [verify-U]-Service ([verify-U]) - Cybits Systems Security GmbH - C:\Programme\verify-U_AVS\[verify-U]-Service.exe

--
End of file - 14314 bytes

ich danke jedenfalls schonmal ganz arg in der hoffnung auf nicht allzu großen schaden...

Chris4You · 28.08.2008, 06:35

Hi,

MAM runterladen&installieren&updaten, dann Combofix downloaden, Anleitung ausdrucken.

Malwarebytes Antimalware (MAM).
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Erst später hier weitermachen:
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Bitte folgende Files prüfen:

Zitat:

C:\Programme\qlbwxcd\infoactproc.dll
C:\Programme\verify-U_AVS\[verify-U]-Software.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn\gjkjcvcl.exe
C:\WINDOWS\system32\xabmtadc.exe
C:\WINDOWS\system32\lphc5djj0evcv.exe
C:\WINDOWS\system32\yfitingp.exe
C:\WINDOWS\system32\clqfyxqn.exe

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste die Ergebnisse mit Filename!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|lphc5djj0evcv
 
Files to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn\gjkjcvcl.exe
C:\WINDOWS\system32\xabmtadc.exe
C:\WINDOWS\system32\lphc5djj0evcv.exe
C:\WINDOWS\system32\yfitingp.exe
C:\WINDOWS\system32\clqfyxqn.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O4 - HKLM\..\Policies\Explorer\Run: [x6qzreL6E9] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn\gjkjcvcl.exe
O4 - HKCU\..\Run: [ComAplCmd] C:\WINDOWS\system32\xabmtadc.exe
O4 - HKCU\..\Run: [dbutilstr] C:\WINDOWS\system32\unehixkj.exe
O4 - HKCU\..\Run: [wininfo] C:\WINDOWS\system32\clqfyxqn.exe
O4 - HKCU\..\Run: [sysui] C:\WINDOWS\system32\yfitingp.exe
O4 - HKLM\..\Run: [lphc5djj0evcv] C:\WINDOWS\system32\lphc5djj0evcv.exe

Jetzt offlien gehen und anschließend MAM und ComboFix laufen&bereinigen lassen, poste das Log...

Chris

paxxtrax · 28.08.2008, 19:27

1000 thanks erstmal @chris!
bin eben erst von der arbeit zurück gekommen.

werde alles der reihe nach abarbeiten - das wird etwas dauern.
melde mich heute abend/nacht noch mit dem ergebnis.

paxxtrax · 28.08.2008, 23:03

here we go:

der reihe nach, was geschah, bzw. nicht geschah...

1. MAM aktualisiert, noch kein scan durchgeführt.
2. download combofix - leider war das abspeichern auf desktop nicht möglich und das programm "rannte gleich durch". autom. neustart. schreiben von logdatei. in dem zusammenhang meldet sich avira: habe dann die datei catchme.tmp zugelassen, da ich dachte die gehört zu combofix.
3. avenger ausgeführt - dateien wurden gelöscht. nach dem neustart zeigt windows fehlerfenster: exception processing message c0000013 parameters usf..... avira meldet sich wieder mit versuchten verbindungsaufbauten, z.b unehixkj.exe und jizsvqtk.exe; dieses mal verweigert.
4. über HijackThis konnte ich die letzte angegebene zeile nicht mehr finden
(O4 - HKLM\..\Run: [lphc5djj0evcv] C:\WINDOWS\system32\lphc5djj0evcv.exe). alle anderen wurden gefixt.
5. virus total: die erste zeile hatte ein ergebnis; die zweite keinen fund. alle anderen (zeile 3 bis 7) nicht mehr gefunden (vermutlich bereits gelöscht).

hier der text zur ersten zeile
(C:\Programme\qlbwxcd\infoactproc.dll)

Sophos 4.33.0 2008.08.28 Mal/EncPk-DG

File size: 110592 bytes
MD5...: cfecec1853bc1e952be70ca3a74498af
SHA1..: b33ae40cf006e7849ffd8acd1d18274c04431fd4
SHA256: bafa44ca7f6d12c33be9b5258449baf944a36f5288f6caa2aefd07cce54169d5
SHA512: ebe3cf69e32460b00367aa6a7cd6679ebb2c3a869656d13435f879ba6a605df7
7ffa02521c235f4a40dd21cc7bc1a0f33fede20becc48a98cc1bf4f47b1fdbe1
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10015779
timedatestamp.....: 0x48b1157b (Sun Aug 24 08:02:03 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.iweg 0x1000 0x15744 0x16000 6.74 b52657d669f78225fc1ac1157967d946
.nnyvo 0x17000 0x6d1 0x1000 2.77 5091037c63ccd7e05b3e67f05fe6fafe
.biire 0x18000 0x1f48 0x1000 0.66 3f710d0a0cf3e4d373ebef54498af79f
.reloc 0x1a000 0x1942 0x2000 6.00 db73322e7394f5dcc7757b85256cfd22

( 4 imports )
> KERNEL32.dll: lstrcpyW, LoadLibraryA, WriteFile, GlobalAddAtomW, GlobalLock, GetProcAddress, CreateEventW, LockResource, lstrlenW, GetSystemTime, SetCurrentDirectoryW, FindNextFileW, GetCurrentProcess, SetThreadPriority, SetLastError, GetFileSize, CancelWaitableTimer, FileTimeToSystemTime, GetTickCount, GetVersion, CreateProcessW, FreeLibrary, MultiByteToWideChar, DuplicateHandle, FindNextChangeNotification, GetModuleFileNameW, WritePrivateProfileStringW
> USER32.dll: DispatchMessageW, OffsetRect, RegisterHotKey, IsWindow, SetCursor, FillRect, GetDlgItem, LoadBitmapW, SendDlgItemMessageW, GetWindowRect, MessageBoxW, SetForegroundWindow, SetWindowPos, SystemParametersInfoW, GetParent, RegisterClassExW
> GDI32.dll: SetTextColor, SetMapMode, SetDIBits, DPtoLP, GetMapMode, CreateICW, CreateSolidBrush, GetStockObject, GetDeviceCaps
> ADVAPI32.dll: RegCloseKey, RegNotifyChangeKeyValue, LookupPrivilegeValueW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

6. nach dem neustart waren jetzt zum ersten mal die windows- und avira -fehlermeldungen verschwunden.

7. MAM-quick-scan durchgeführt - 9 dateien gefunden und gelöscht. ebenso die noch in quarantäne befindlichen. den vollständigen scan musste ich nach knapp einer stunde (ca. 30.000 dateien) abbrechen, da ich ca. 15.000 schriftdateien habe, für eine schrift wird tendentiell ca. 1 sekunde benötigt!

8. nochmal combofix durchgeführt;
hier das logfile dazu:

ComboFix 08-08-28.02 - paxx 2008-08-28 23:13:35.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1454 [GMT 2:00]
ausgeführt von:: C:\downloads\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-28 bis 2008-08-28 ))))))))))))))))))))))))))))))
.

2008-08-28 20:50 . 2008-08-28 20:50 102,400 --a------ C:\WINDOWS\system32\jizsvqtk.exe
2008-08-28 20:35 . 2008-08-28 20:35 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-28 20:35 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-28 20:35 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-28 01:09 . 2008-08-28 01:09 7,680 --ahs---- C:\WINDOWS\Thumbs.db
2008-08-27 23:24 . 2008-08-27 23:24 203,776 --a------ C:\WINDOWS\system32\bmtgfafq.exe
2008-08-27 22:57 . 2008-08-27 23:03 <DIR> d-------- C:\Programme\Ascentive
2008-08-27 22:57 . 2008-05-05 14:08 208,896 --a------ C:\WINDOWS\system32\ConTest.dll
2008-08-27 22:57 . 2007-10-17 10:19 20,480 --a------ C:\WINDOWS\system32\SysRestore.dll
2008-08-27 22:43 . 2008-08-27 22:55 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-08-27 22:16 . 2008-08-27 22:23 <DIR> d-------- C:\Programme\PC Security Test 2008
2008-08-27 21:40 . 2008-08-27 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-08-26 07:58 . 2008-08-26 07:58 94,208 --a------ C:\WINDOWS\system32\unehixkj.exe
2008-08-25 23:21 . 2008-08-25 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\Malwarebytes
2008-08-25 23:21 . 2008-08-25 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-25 23:15 . 2008-08-25 23:15 <DIR> d-------- C:\Programme\Trend Micro
2008-08-25 22:10 . 2008-08-25 22:10 <DIR> d-------- C:\Programme\Typograph
2008-08-24 14:38 . 2008-08-28 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\Extensis
2008-08-24 14:38 . 2008-08-28 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Extensis
2008-08-24 14:34 . 2008-08-24 14:34 <DIR> d-------- C:\Programme\Suitcase_extensis
2008-08-24 11:04 . 2008-08-24 11:04 <DIR> d-------- C:\Programme\qlbwxcd
2008-08-24 11:04 . 2008-08-28 21:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn
2008-08-19 01:02 . 2008-08-19 01:02 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-19 01:02 . 2008-08-19 01:02 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-19 01:02 . 2008-08-19 01:02 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-18 22:41 . 2008-04-14 04:22 1,306,624 -----c--- C:\WINDOWS\system32\dllcache\msxml6.dll
2008-08-15 17:36 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-15 17:36 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-27 21:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-27 20:57 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-27 19:50 --------- d-----w C:\Programme\Wise Registry Cleaner
2008-08-25 22:17 --------- d-----w C:\Programme\FRITZ!Box
2008-08-12 19:20 --------- d-----w C:\Programme\No23 Recorder
2008-08-01 18:34 --------- d-----w C:\Programme\Hardcopy
2008-07-29 19:21 --------- d-----w C:\Programme\Java
2008-07-18 18:54 --------- d-----w C:\Programme\FreePDF_XP
2008-07-13 12:01 --------- d-----w C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\U3
2008-07-02 20:42 --------- d-----w C:\Programme\Gemeinsame Dateien\EPSON
2008-07-02 20:41 --------- d-----w C:\Programme\EPSON
2008-03-30 14:42 133,912 ----a-w C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-25 21:53 14 ----a-w C:\Dokumente und Einstellungen\paxx\getfile.dat
2007-11-25 15:35 96,374 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2003-12-07 22:39 62,419,889 ----a-w C:\Programme\Macromedia.Dreamweaver.MX.v6.0.GERMAN.WiN32-oDDiTy.rar
2007-12-25 15:50 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-08-28_20.52.26.53 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-08-28 18:46:44 793,920 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-08-28 21:17:21 793,920 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 03:23 443968]
"Performance Center"="C:\Programme\Ascentive\Performance Center\ApcMain.exe" [2008-03-13 17:35 3239936]
"AdmSetApi"="C:\WINDOWS\system32\jizsvqtk.exe" [2008-08-28 20:50 102400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 16:36 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-03-21 18:23 1953792]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 02:08 483328]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 21:27 312320]
"AVMFBoxMonitor"="C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" [2007-05-08 03:00 1482752]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-12-11 11:56 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 13:10 267048]
"OSSelectorReinstall"="C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-09 17:29 2224104]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-08-31 19:35 2622232]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-08-31 19:43 907040]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-08-31 19:38 140568]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"avgnt"="C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-07-17 21:43 266497]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 16:49 16126464 C:\WINDOWS\RTHDCPL.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 04:10 55824 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"infoactproc"= {68F1E78F-722E-9193-1783-03C78BF918B6} - C:\Programme\qlbwxcd\infoactproc.dll [2008-08-24 11:04 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2007-11-15 11:10 72208 c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Suitcase_extensis\\Bonjour\\mDNSResponder.exe"=

R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-01-22 23:50]
R1 avfwot;avfwot;C:\WINDOWS\system32\DRIVERS\avfwot.sys [2008-05-10 00:03]
R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-07-17 21:43]
R2 AntiVirMailService;Avira Premium Security Suite MailGuard;C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe [2008-07-17 21:43]
R2 antivirwebservice;Avira Premium Security Suite WebGuard;C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-07-17 21:43]
R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-07-17 21:43]
R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-08-31 20:49]
R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-07-12 11:03]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2007-03-15 16:12]
R3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys [2008-05-10 00:03]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-07-12 11:03]
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-08-17 15:01]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2008-04-08 C:\WINDOWS\Tasks\HP DArC Task #Hewlett-Packard#hp psc 2400 series#1207679524.job
- C:\Programme\HP\hpcoretech\comp\hpdarc.exe []

2008-04-13 C:\WINDOWS\Tasks\HP DArC Task #Hewlett-Packard#hp psc 2400 series#1208093426.job
- C:\Programme\HP\hpcoretech\comp\hpdarc.exe []
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\Mozilla\Firefox\Profiles\f0fyal0g.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 23:18:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
"ImagePath"="\"C:\Programme\verify-U_AVS\
[verify-U]-Service.exe\""

"ImagePath"="system32\drivers\
[verify-U]-driver.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\[verify-U]]
"ImagePath"="\"C:\Programme\verify-U_AVS\

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\[verify-U]_System]
"ImagePath"="system32\drivers\
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\verify-U_AVS\[verify-U]-Service.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Suitcase_extensis\Suitcase.exe
C:\Programme\verify-U_AVS\[verify-U]-Software.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-28 23:23:40 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-28 21:23:23
ComboFix2.txt 2008-08-28 18:52:58

Pre-Run: 16 Verzeichnis(se), 142,691,377,152 Bytes frei
Post-Run: 18 Verzeichnis(se), 142,678,077,440 Bytes frei

191 --- E O F --- 2008-08-19 21:52:56

9. last not least kommt der aktuelle hijackthis!
mit dem nächsten eintrag

PUHHHHHHHHHHHHHH

STATUS QUO

- "nur" noch windows-warnhinweise (security-alerts: trojan-spy...)
- das "eingebrannte" warnfenster auf meinem desktop ist weg. avira meldet keine viren mehr.
- mein desktophintergrund ist blau.
- ich bin etwas erleichert, aber wahrscheinlich ist noch was zu tun...

paxxtrax · 28.08.2008, 23:07

...und hier wie angekündigt das aktuelle logfile (hijack):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:30:19, on 28.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\verify-U_AVS\[verify-U]-Service.exe
C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\jizsvqtk.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Suitcase_extensis\Suitcase.exe
C:\Programme\verify-U_AVS\[verify-U]-Software.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.horn-gmbh.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\ApcMain.exe -m
O4 - HKCU\..\Run: [AdmSetApi] C:\WINDOWS\system32\jizsvqtk.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Suitcase 11.0.lnk = ?
O4 - Global Startup: [verify-U]-Software.lnk = C:\Programme\verify-U_AVS\[verify-U]-Software.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.maxdome.de
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198710358656
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O21 - SSODL: infoactproc - {68F1E78F-722E-9193-1783-03C78BF918B6} - C:\Programme\qlbwxcd\infoactproc.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: [verify-U]-Service ([verify-U]) - Cybits Systems Security GmbH - C:\Programme\verify-U_AVS\[verify-U]-Service.exe

--
End of file - 13378 bytes

1.000 dank so far! :aplaus:

es sieht im allgemeinen (als laie empfunden) schon viel besser aus, ist aber wohl noch was zu tun...

ich bin guter dinge, dass das wird.

in gespannter erwartung auf den sieg über die biester verbleibe ich:
paxxtrax

Chris4You · 29.08.2008, 06:44

Hi,

falls sich in der Zwischenzeit nichts neues eingeschlichen hat (die letzte "Neuerung" ist vom 2008-08-28 20:50!), ist folgendes noch zu prüfen und wahrscheinlich zu eliminieren:

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\system32\bmtgfafq.exe
C:\WINDOWS\system32\unehixkj.exe
C:\WINDOWS\system32\jizsvqtk.exe
C:\Programme\qlbwxcd\infoactproc.dll *
C:\Programme\Ascentive\Performance Center\ApcMain.exe *

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Die mit * gekennzeichneten habe ich unten aus dem Script mal rausgelassen,
falls z.B. die infoactproc.dll erkannt wird, unten bei Files to delete
mit Pfad mit aufnehmen....

Poste ansonsten das Ergbeniss mit Filename, damit ich weis mit was wir
es zu tun haben (hab da zwar so eine Ahnung...)

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\bmtgfafq.exe
C:\WINDOWS\system32\unehixkj.exe
C:\WINDOWS\system32\jizsvqtk.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O4 - HKCU\..\Run: [AdmSetApi] C:\WINDOWS\system32\jizsvqtk.exe

Dann bitte noch ein neues HJ-Log...

Chris

paxxtrax · 30.08.2008, 10:01

hi chris.

hier meine durchführungen und reports im einzelnen:

1. virustotal
C:\WINDOWS\system32\bmtgfafq.exe
--- wurde von meinem antivir erkannt und ich habe es sicherheitshalber manuell geblockt...

C:\WINDOWS\system32\unehixkj.exe

Fortinet 3.14.0.0 2008.08.30 W32/PolySmall.BP!tr
Microsoft 1.3807 2008.08.25 TrojanDownloader:Win32/FakeAlert.C
Sophos 4.33.0 2008.08.30 Mal/EncPk-DG

File size: 94208 bytes
MD5...: 3b13596ad4283ed0527bf2d72799d70c
SHA1..: f9e195b5c1ee5dc917ccd64d691c4827650e0304
SHA256: a9a9d144acc40fddac03316a24448783bc4f94c1dbbe71e8ae88eeb890569bbd
SHA512: 360a01db64eb9216c00fae36694a1e00c20e95356ee3d7e86acc0fcd147d9749
9f83f1c9f677646770b998c8a18073feb1d8270ea1ad9c08da3c13861b131ca0
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41444b
timedatestamp.....: 0x48b38e66 (Tue Aug 26 05:02:30 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.qejgu 0x1000 0x139bc 0x14000 6.82 16db032147557d76e415a83046a5346f
.bfzyl 0x15000 0x6f8 0x1000 2.89 93b5e190733d82c747f60e33f35d028c
.bwlnxb 0x16000 0x5a14 0x1000 0.53 0cfc17da1649f9d9c699cf4ca48c55c6

( 4 imports )
> KERNEL32.dll: GlobalAlloc, LoadLibraryA, GetCurrentProcessId, GetLastError, CloseHandle, CreateProcessW, GlobalDeleteAtom, InterlockedIncrement, lstrlenW, TerminateThread, GetCurrentThread, GlobalAddAtomW, LoadLibraryW, CreateThread, FindResourceW, ResumeThread, CancelWaitableTimer, QueryDosDeviceW, InterlockedDecrement, MoveFileW, FindNextFileW, GetProcAddress, FindFirstFileW, GetModuleHandleW, VirtualAlloc, ReadFile, GetModuleFileNameW, SetFilePointer, lstrcpyW
> USER32.dll: LoadCursorW, PostQuitMessage, RegisterWindowMessageW, MessageBoxW, EnableWindow, CreateWindowExW, GetSysColor, UpdateWindow, SetCapture, GetWindowDC, RegisterClassExW, WindowFromPoint, DestroyIcon, DefWindowProcW, PostMessageW, GetClassNameW, FillRect, LoadBitmapW
> GDI32.dll: BitBlt, GetObjectW, SetDIBits, CreateSolidBrush, GetStockObject, SelectObject, CreateRoundRectRgn, DeleteDC, CreateICW, SetTextColor, SetBkColor, DeleteObject, LineTo
> ADVAPI32.dll: RegOpenKeyExW, RegQueryValueExW, RegCloseKey, LookupAccountSidW, LookupPrivilegeValueW

( 0 exports )

C:\WINDOWS\system32\jizsvqtk.exe
virustotal mit hinweis dass die datei bereits gescannt wurde; führe erneuten scan durch; gleiche ergebnisse wie bei
C:\WINDOWS\system32\unehixkj.exe
Fortinet 3.14.0.0 2008.08.30 W32/PolySmall.BP!tr
Microsoft 1.3807 2008.08.25 TrojanDownloader:Win32/FakeAlert.C
Sophos 4.33.0 2008.08.30 Mal/EncPk-DG

File size: 102400 bytes
MD5...: 8147b8a9ded0914aaaa043a7e23a5fa1
SHA1..: 0d5733df57a24f148663ec9711766ec1553c25b0
SHA256: 8ed7e2306b7cab553bdc1e74d63d02c2ffea2fde4aa4c5991f40d25afeec39ce
SHA512: 217b24290960ab21792e45cd5ebde83984411bfb127f28fadacbaf328978ac42
b639bbc771a20b84beb07f7a3651a012f078e5840688349e75c3a9bf679ce287
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40a203
timedatestamp.....: 0x48b6da58 (Thu Aug 28 17:03:20 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.jcjwzy 0x1000 0x15968 0x16000 6.87 2769cc0394940a52052420817dca8c68
.lfdy 0x17000 0x618 0x1000 2.55 7a2da32d18124ea1cc996df4598ec286
.bdhgw 0x18000 0x59b0 0x1000 0.42 87a2dadf26b1446195b984cc0ea78990

( 4 imports )
> KERNEL32.dll: LockResource, GetFileAttributesW, SetCurrentDirectoryW, GetVersion, SetFilePointer, LoadLibraryA, CreateProcessW, CreateEventW, GetFileSize, GlobalLock, DuplicateHandle, GetProcAddress, SetWaitableTimer, VirtualFree, FindFirstChangeNotificationW, lstrcpyW, FindNextFileW, lstrlenW, FreeResource, ResetEvent, GetLocalTime, WritePrivateProfileStringW, GetDriveTypeW, LoadLibraryW
> USER32.dll: IsWindow, GetWindowDC, SendDlgItemMessageW, EnableWindow, GetParent, RegisterWindowMessageW, SetLayeredWindowAttributes, SetCursor, GetWindowTextW, GetSystemMetrics, OffsetRect, SystemParametersInfoW, CreatePopupMenu, GetMessageW, AppendMenuW, IsDlgButtonChecked, CreateWindowExW, GetWindowRect, RedrawWindow
> GDI32.dll: SelectObject, SetDIBits, DeleteObject, SetBkColor, SetMapMode, GetObjectW, CreateFontIndirectW
> ADVAPI32.dll: RegOpenKeyExW, RegQueryValueExW, RegDeleteValueW, LookupPrivilegeValueW

( 0 exports )

C:\Programme\qlbwxcd\infoactproc.dll

Sophos 4.33.0 2008.08.30 Mal/EncPk-DG

File size: 110592 bytes
MD5...: cfecec1853bc1e952be70ca3a74498af
SHA1..: b33ae40cf006e7849ffd8acd1d18274c04431fd4
SHA256: bafa44ca7f6d12c33be9b5258449baf944a36f5288f6caa2aefd07cce54169d5
SHA512: ebe3cf69e32460b00367aa6a7cd6679ebb2c3a869656d13435f879ba6a605df7
7ffa02521c235f4a40dd21cc7bc1a0f33fede20becc48a98cc1bf4f47b1fdbe1
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10015779
timedatestamp.....: 0x48b1157b (Sun Aug 24 08:02:03 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.iweg 0x1000 0x15744 0x16000 6.74 b52657d669f78225fc1ac1157967d946
.nnyvo 0x17000 0x6d1 0x1000 2.77 5091037c63ccd7e05b3e67f05fe6fafe
.biire 0x18000 0x1f48 0x1000 0.66 3f710d0a0cf3e4d373ebef54498af79f
.reloc 0x1a000 0x1942 0x2000 6.00 db73322e7394f5dcc7757b85256cfd22

( 4 imports )
> KERNEL32.dll: lstrcpyW, LoadLibraryA, WriteFile, GlobalAddAtomW, GlobalLock, GetProcAddress, CreateEventW, LockResource, lstrlenW, GetSystemTime, SetCurrentDirectoryW, FindNextFileW, GetCurrentProcess, SetThreadPriority, SetLastError, GetFileSize, CancelWaitableTimer, FileTimeToSystemTime, GetTickCount, GetVersion, CreateProcessW, FreeLibrary, MultiByteToWideChar, DuplicateHandle, FindNextChangeNotification, GetModuleFileNameW, WritePrivateProfileStringW
> USER32.dll: DispatchMessageW, OffsetRect, RegisterHotKey, IsWindow, SetCursor, FillRect, GetDlgItem, LoadBitmapW, SendDlgItemMessageW, GetWindowRect, MessageBoxW, SetForegroundWindow, SetWindowPos, SystemParametersInfoW, GetParent, RegisterClassExW
> GDI32.dll: SetTextColor, SetMapMode, SetDIBits, DPtoLP, GetMapMode, CreateICW, CreateSolidBrush, GetStockObject, GetDeviceCaps
> ADVAPI32.dll: RegCloseKey, RegNotifyChangeKeyValue, LookupPrivilegeValueW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

C:\Programme\Ascentive\Performance Center\ApcMain.exe

kein fund.

File size: 3239936 bytes
MD5...: ea8449e9a2f91a722721e913a2d25547
SHA1..: c6a800ecf0a92e74e5048e4fb3ab73b46df2a9c6
SHA256: b8da6341ef4e52fe7d79833a4baf5597eef1642943948ec4dd96c86f7e005933
SHA512: 86d1e3be066435400c618a410a23878be5570f6c6b36d2de346644abf9802fee
f0d3e7a1744f7acffcac8a9152964e3f44f17fbc54f8432de1077653a3a47521
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x429287
timedatestamp.....: 0x47d9187f (Thu Mar 13 12:05:19 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x49a46 0x4a000 6.52 98e76264f419b41ba72a32d8baacf91a
.rdata 0x4b000 0x137da 0x14000 4.66 8d1cec8a1e0a788b1b23b2ab6152f206
.data 0x5f000 0x6254 0x3000 3.47 bf42d9fd3b4e112a714a39621346e855
.rsrc 0x66000 0x2b4c60 0x2b5000 5.21 03daa1071d9d9578f49bf472b98abb77

( 14 imports )
> VERSION.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW
> KERNEL32.dll: GetStartupInfoW, RtlUnwind, GetSystemTimeAsFileTime, HeapFree, HeapAlloc, HeapReAlloc, TerminateProcess, SetStdHandle, GetFileType, HeapSize, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, GetTimeZoneInformation, QueryPerformanceCounter, GetCurrentProcessId, LCMapStringA, LCMapStringW, GetTimeFormatA, GetDateFormatA, IsBadWritePtr, GetOEMCP, GetCPInfo, IsBadReadPtr, IsBadCodePtr, GetStringTypeA, GetStringTypeW, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetErrorMode, GetFileTime, GetFileAttributesW, GetFullPathNameW, GetVolumeInformationW, FindFirstFileW, FindClose, GetCurrentProcess, DuplicateHandle, GetFileSize, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, TlsFree, LocalReAlloc, TlsSetValue, TlsAlloc, TlsGetValue, EnterCriticalSection, GlobalHandle, GlobalReAlloc, LeaveCriticalSection, LocalAlloc, GlobalFlags, lstrcmpiW, GetTickCount, GetCurrentThread, lstrcmpA, ConvertDefaultLocale, GetVersion, EnumResourceLanguagesW, LoadLibraryW, WideCharToMultiByte, GlobalAddAtomW, GlobalFindAtomW, GlobalDeleteAtom, lstrlenA, LoadLibraryA, lstrcatW, lstrcmpW, GetModuleHandleW, GetVersionExA, GetModuleHandleA, GetProcAddress, GetCurrentThreadId, lstrcpyW, lstrlenW, GlobalAlloc, FormatMessageW, lstrcpynW, LocalFree, GlobalLock, GlobalUnlock, GlobalFree, FreeResource, CreateEventW, CreateThread, WaitForSingleObject, SetEvent, DeleteCriticalSection, InitializeCriticalSection, RaiseException, GetModuleFileNameW, GetUserDefaultLangID, FileTimeToLocalFileTime, FileTimeToSystemTime, InterlockedDecrement, InterlockedIncrement, CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, CloseHandle, MulDiv, SetUnhandledExceptionFilter, Sleep, CreateFileW, DeleteFileW, SetLastError, CreateMutexW, ExitProcess, LoadLibraryExW, GetCommandLineW, GetPrivateProfileStringW, WritePrivateProfileStringW, OutputDebugStringW, GetLastError, FreeLibrary, MultiByteToWideChar, GetVersionExW, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, GetLocaleInfoW, FindResourceW, LoadResource, LockResource, SizeofResource, GetCommandLineA
> USER32.dll: RegisterClipboardFormatW, SetWindowContextHelpId, MapDialogRect, PostQuitMessage, wsprintfW, ModifyMenuW, EnableMenuItem, CheckMenuItem, GetMenuCheckMarkDimensions, ShowWindow, IsDialogMessageW, WinHelpW, GetCapture, CreateWindowExW, GetClassInfoExW, GetClassLongW, GetClassNameW, SetPropW, GetPropW, RemovePropW, SendDlgItemMessageW, SendDlgItemMessageA, SetFocus, IsChild, GetWindowTextLengthW, GetForegroundWindow, GetLastActivePopup, UnhookWindowsHookEx, GetMessageTime, GetMessagePos, MapWindowPoints, TrackPopupMenu, UpdateWindow, GetMenu, AdjustWindowRectEx, EqualRect, GetClassInfoW, RegisterClassW, CallWindowProcW, SetWindowPos, IntersectRect, GetWindowPlacement, EndPaint, BeginPaint, GetWindowDC, ScreenToClient, GrayStringW, DrawTextExW, DrawTextW, TabbedTextOutW, SetWindowsHookExW, CallNextHookEx, GetMessageW, IsWindowVisible, GetKeyState, ValidateRect, GetMenuState, GetMenuItemID, GetMenuItemCount, GetDesktopWindow, SetActiveWindow, GetSystemMetrics, CreateDialogIndirectParamW, DestroyWindow, IsWindow, GetDlgItem, IsWindowEnabled, EndDialog, SystemParametersInfoW, GetFocus, TranslateMessage, DispatchMessageW, PeekMessageW, GetTopWindow, GetWindow, UnregisterClassW, EnumChildWindows, GetWindowTextW, GetDlgCtrlID, SetWindowTextW, MoveWindow, GetCursorPos, GetMenuDefaultItem, SetMenuDefaultItem, SetMenuItemBitmaps, AppendMenuW, CreatePopupMenu, FindWindowExW, RegisterWindowMessageW, KillTimer, SetTimer, IsIconic, LoadBitmapW, MessageBoxW, SetForegroundWindow, FindWindowW, LoadCursorW, PostThreadMessageW, MessageBeep, GetNextDlgGroupItem, InvalidateRgn, CopyAcceleratorTableW, SetRect, IsRectEmpty, CharNextW, SetWindowLongW, ReleaseCapture, SetCapture, RedrawWindow, PtInRect, LoadIconW, LoadImageW, GetSysColor, GetSubMenu, TrackPopupMenuEx, PostMessageW, SetCursor, CharUpperW, GetSysColorBrush, DefWindowProcW, DestroyCursor, DestroyMenu, GetWindowLongW, WindowFromPoint, GetParent, GetNextDlgTabItem, GetActiveWindow, InvalidateRect, ClientToScreen, GetWindowRect, SendMessageW, DrawFocusRect, FrameRect, FillRect, OffsetRect, InflateRect, CopyRect, GetDC, ReleaseDC, DrawStateW, DestroyIcon, EnableWindow, GetClientRect, SystemParametersInfoA
> GDI32.dll: CreateRectRgnIndirect, GetMapMode, GetBkColor, GetTextColor, GetRgnBox, MoveToEx, LineTo, ExtSelectClipRgn, GetViewportExtEx, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, Escape, ExtTextOutW, TextOutW, RectVisible, PtVisible, GetStockObject, DeleteObject, RoundRect, CreateSolidBrush, GetClipBox, SetMapMode, SetBkMode, RestoreDC, SaveDC, GetDeviceCaps, CreatePen, CreateFontIndirectW, GetObjectW, CreateCompatibleBitmap, GetPixel, SetPixel, CreateBitmap, CreateCompatibleDC, SelectObject, SetBkColor, BitBlt, SetTextColor, DeleteDC, GetWindowExtEx
> comdlg32.dll: GetFileTitleW
> WINSPOOL.DRV: OpenPrinterW, DocumentPropertiesW, ClosePrinter
> ADVAPI32.dll: RegQueryValueExW, RegOpenKeyExW, RegCreateKeyExW, RegDeleteKeyW, RegSetValueExW, RegOpenKeyW, RegDeleteValueW, RegEnumKeyW, RegQueryValueW, RegCloseKey
> SHELL32.dll: ShellExecuteW, FindExecutableW, Shell_NotifyIconW, ShellExecuteExW
> COMCTL32.dll: _TrackMouseEvent, -
> SHLWAPI.dll: PathFindExtensionW, PathFindFileNameW, PathStripToRootW, PathFileExistsW, PathIsUNCW
> oledlg.dll: OleUIBusyW
> ole32.dll: CoTaskMemAlloc, CoTaskMemFree, CoInitialize, CLSIDFromString, CLSIDFromProgID, CoCreateInstance, OleRun, CoUninitialize, CreateILockBytesOnHGlobal, StgCreateDocfileOnILockBytes, OleUninitialize, CoFreeUnusedLibraries, OleInitialize, CoGetClassObject, CoRegisterMessageFilter, OleFlushClipboard, OleIsCurrentClipboard, CoRevokeClassObject, StgOpenStorageOnILockBytes
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -
> WINMM.dll: PlaySoundW

( 0 exports )

2. avenger
nach dem neustart durch avenger zeigt mein avira TR/Dldr.Small... als trojaner an: zugriff verweigert.
ausserdem das meldefenster mit "kein datenträger..."

avenger-log-datei:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Sat Aug 30 10:20:59 2008

10:20:59: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\bmtgfafq.exe" deleted successfully.
File "C:\WINDOWS\system32\unehixkj.exe" deleted successfully.
File "C:\WINDOWS\system32\jizsvqtk.exe" deleted successfully.
File "C:\Programme\qlbwxcd\infoactproc.dll" deleted successfully.
File "C:\Programme\Ascentive\Performance Center\ApcMain.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

3. hijackthis
O4 - HKCU\..\Run: [AdmSetApi] C:\WINDOWS\system32\jizsvqtk.exe
- gefixt

das aktuelle HJ-log kommt mit dem nächsten report.

paxxtrax · 30.08.2008, 10:02

4. aktuelles HJ-log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:43:59, on 30.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\verify-U_AVS\[verify-U]-Service.exe
C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Suitcase_extensis\Suitcase.exe
C:\Programme\verify-U_AVS\[verify-U]-Software.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.horn-gmbh.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\ApcMain.exe -m
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Suitcase 11.0.lnk = ?
O4 - Global Startup: [verify-U]-Software.lnk = C:\Programme\verify-U_AVS\[verify-U]-Software.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.maxdome.de
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198710358656
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O21 - SSODL: infoactproc - {68F1E78F-722E-9193-1783-03C78BF918B6} - C:\Programme\qlbwxcd\infoactproc.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: [verify-U]-Service ([verify-U]) - Cybits Systems Security GmbH - C:\Programme\verify-U_AVS\[verify-U]-Service.exe

--
End of file - 13383 bytes

sonstige auffälligkeiten:
- beim hochfahren erscheint seit längerem auf schwarzem bildschirm links oben
"MBR ERROR 2" - hat das was mit "der sache" zu tun?
- das programm verify-u VAS Update gibt öfters ein fehlerfenster aus: "fehler beim herunterladen der dateiliste" : verify-U war glaube ich auch schonmal unter den "verdächtigten" dateien, oder?

status quo:
- keine schädlingsmeldungen /-einblendungen mehr.
"scheint" alles sauber zu sein... !?

MIR GEHTS SAUGUT DABEI.

ich dank dir jetzt schonmal millionenfach, warte aber noch auf deine fachmännische auswertung/beurteilung, bevor ich mich endgültig dem triumphgefühl widme...

Chris4You · 30.08.2008, 16:12

Hi,

HJ-Log sieht gut aus, das mit dem MBR ist verdächtig daher:
MBR-Rootkit
Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

Lass auch, soweit nicht schon durchgeführt, MAM laufen und reinigen...

paxxtrax · 31.08.2008, 10:05

hi chris,

logfile mbr:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

--- anzeige MBR2 error erscheint allerdings weiterhin zu beginn...

logfile MAM:

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1092
Windows 5.1.2600 Service Pack 3

10:56:53 31.08.2008
mbam-log-08-31-2008 (10-56-53).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 43372
Laufzeit: 2 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\mbr (Trojan.Agent) -> Delete on reboot.

=============================
gibt es jetzt noch was zu tun?

ich würde gerne das board hier mit einer "spende" unterstützen.
wie und wo geht das?

Chris4You · 01.09.2008, 06:25

Hm,

mit dem MBR2-Fehler kenne ich mich nicht so aus, allerdings könnte das was mit Acronis zu tun haben...
Hast Du eine SecureZone eingerichtet? Eventuell die neu erstellen bzw. fixmbr von der Rettungskonsole eingeben...

Bei den restlichen Punkten schreib bitte einen Moderator an (GUA etc.)....

chris

paxxtrax · 01.09.2008, 19:18

ja, ich habe acronis. das ganze backup-system etc. ist aber noch nicht richtig eingerichtet bei mir. gut möglich, dass das davon kommt...

ich danke dir nochmal abschließend vielmals für deinen 100% support chris!

permanente windows-warnhinweise und avira-virenmeldungen

Log-Analyse und Auswertung: permanente windows-warnhinweise und avira-virenmeldungen