Hi Leute,
seit Dienstag habe ich Trojaner und Trojaner Downloader auf den PC. Die sollten jetzt eigentlich weg sein, sagen HiJackThis und mein Viren Scanner zumindest. Folgende Fehlfunktionen sind mindestens zu bemängeln:

1. Das Antiviren Programm funktioniert nicht mehr richtig(AVG 8.0 Free Edition).
-Man kann keine manuellen Suchvorgänge starten, wenn man auf "Scan Computer" klickt, passiert nichts!
-Wenn man den Virus Vault öffnen will, öffnet sich ein Dialogfenster "Virus Vault Initialization failed. The Window will close now." (Virus Vault konnte nicht gestartet werden. Das Fenster wird sich nun schließen.)
-Unter "Next sheduled run" (Nächster scan nach dem Zeitplan) steht "Next run not shelduled" (Nächster scan ist nicht im Zeitplan)
-Das Windows Sicherheitscenter erkennt das Programm nicht.
-Im Windows Sicherheitsmodus funktioniert das Programm richtig, soweit möglich.
Aufgrund des Viren Befalls habe ich Avg 7.5 durch AVG 8.0 ersetzt; 7.5 hat immer richtig funktioniert. Da nicht auf Antivir-Seiten zugreifen konnte und Downloads immer abgebrochen wurden, hab ich den Installer auf einem anderen Computer heruntergeladen. Jetzt kontroliere ich noch mit einer alten Version (AVG 7.0) und einem altem(?) Avira Antivir.

2.Mein Firefox und IE funktionieren auch nicht mehr richtig:
-Ich kann keine Antivirensoftware Webseites mehr öffnen (avira.de, grisoft.com etc.)
-Downloads werden nach 5 Sekunden abgebrochen
-Wenn ich aufs Google-Link klicke öffnen sich Werbe-Seiten.
Neuinstallation von Firefox hat nichts bewirkt. Outlook Express funktioniert nach wie vor.

Kann mir jemand mit meinen Problemen helfen?
Vielen Dank!

Hier noch der HijackThis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:07, on 29.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\PROGRA~1\Grisoft\AVG Free 7.0\avgcc.exe
D:\PROGRA~1\Grisoft\AVG Free 7.0\avgemc.exe
D:\Programme\Timerle\Timerle.exe
C:\WINDOWS\system32\ctfmon.exe
D:\PROGRA~1\Grisoft\AVG Free 7.0\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVG Free 7.0\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\AntiVir PersonalEdition Classic\avscan.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\Programme\AVG\AVG8\avgtoolbar.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\Programme\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] D:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVG Free 7.0\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVG Free 7.0\avgemc.exe
O4 - HKCU\..\Run: [Timerle] "D:\Programme\Timerle\Timerle.exe" -q
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] D:\PROGRA~1\Grisoft\AVG Free 7.0\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] D:\PROGRA~1\Grisoft\AVG Free 7.0\avgw.exe /RUNONCE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG Free 7.0\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG Free 7.0\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - D:\PROGRA~1\Grisoft\AVG7\avgemc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4752 bytes
         

Hallo und
Dein Logfile ist sauber keine schädlchen einträge.
Downloade dir Malwarebytes und mach die Updates danach ein Hacken auf Komplett Scan und alle Funde löschen danach das log hier posten.

Lass mal auch noch Blacklight laufen

Vielen Dank für die Hilfe!
(Leider muss ich das Zeugs 2 Stockwerke weiter unten [c]installieren[/c]DOWNLOADEN (so ein Idioten Fehler grrr )

Zitat:

Zitat von Someonelse

Vielen Dank für die Hilfe!
(Leider muss ich das Zeugs 2 Stockwerke weiter unten [c]installieren[/c]DOWNLOADEN (so ein Idioten Fehler grrr )

Wiso das
edit: soorry habs geschnallt xD

Zitat:

Zitat von Someonelse

-Downloads werden nach 5 Sekunden abgebrochen

Deswegen (2. Computer ---meine E-Mail: 2.C@blablabla

Das wundert mich fast das Blacklight nichts findet...
Macht es so etwas ähnliches wie HiJackThis? Ist es darauf spezialisiert Backdoors zu finden? Informationen wären ganz praktisch, ich überlebs aber auch ohne.
Ich habs auch nochmal überflogen, keine eigenartigen Prozesse
Malware fängt gerade mit Windows ordner durchsuchen an, hat auf der Boot Festplatte bis jetzt noch nichts gefunden.

Blacklight sollte Rootkits aufspüren

Danke, da hatte ich ja halbwegs recht..
Das Boot-Laufwerk ist durch *puh*,
Wenn auf dem anderen Laufwerk was ist bin ich im *****

Was sollte daran soooo schlimm sein?
Wir werden das Zeugs schon wegbringen

Ich hoffe mal.
Zur Erläuterung (falls jemand es nicht weiß):
1. Laufwerk (BOOT, 5-6 GB) nur Windows, Eigene Dateien, Temp usw.,div. Programme die sich nur auf C: installieren und Downloads!
2. Laufwerk (FILE) Der Rest.
Das mache ich, damit auf FILE keine Viren kommen
Deshalb wäre es schlecht, wenn dort Viren wären.

Zwischenbericht: sekundärer Downloads Ordner (falls (oder damit nicht) BOOT voll wird) und Programm Ordner ist sauber

Du musst nicht ständig berichten was Malwarebytes gerade macht
Poste am Schluss einfach das Log

jaja...
bin fett gestresst!
Ich hab die Windows CD nicht da muääää
das ding was man im Leben öfter als den computer braucht...
Mein Cousin (primärer Unterstützer, im Moment N/A) hat mir da Untergrundszenarios erzählt (bezüglich auf seine Viren)...
Ich gehe mit großer Sicherheit davon aus dass die Festplatte sauber ist. Mozilla nochmal neuinstallieren? Oder sollte ich was anderes tun?

Verdammt! nach 20 min für einen 2GB Mp3-Player findet das Programm 33 Funde auf C:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1095
Windows 5.1.2600 Service Pack 2

21:25:34 29.08.2008
mbam-log-08-29-2008 (21-25-18) by someonelse.txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 137233
Laufzeit: 1 hour(s), 29 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 12
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysrest.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysrest.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\PIF (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Wilhelm1\Anwendungsdaten\rhcjldj0en3r (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Wilhelm1\Anwendungsdaten\rhcjldj0en3r\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Wilhelm1\Anwendungsdaten\rhcjldj0en3r\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Wilhelm1\Anwendungsdaten\rhcjldj0en3r\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Wilhelm1\Anwendungsdaten\rhcjldj0en3r\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Wilhelm1\Anwendungsdaten\rhcjldj0en3r\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Wilhelm1\Anwendungsdaten\rhcjldj0en3r\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Wilhelm1\Anwendungsdaten\rhcjldj0en3r\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Wilhelm1\Anwendungsdaten\rhcjldj0en3r\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Wilhelm1\Anwendungsdaten\rhcjldj0en3r\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Wilhelm1\Anwendungsdaten\rhcjldj0en3r\Quarantine\Packages (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\phcnldj0en3r.bmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\avhavyuloe_navps.dat (Adware.NaviPromo) -> No action taken.
C:\WINDOWS\system32\avhavyuloe_nav.dat (Adware.NaviPromo) -> No action taken.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\system32\sysrest.sys (Rootkit.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Wilhelm1\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken.
         

hab brav alles gelöscht, mal schauen was behoben wurde...