Mehrere Trojaner auf meinem Laptop

Armano · 31.08.2008, 22:54

Hallo Trojaner-Team,

ich hoffe einfach mal, dass mein erster Beitrag hier nicht total in die Hose geht. Wenn da Informationen von mir nicht gegeben wurden oder noch logfiles fehlen, die reiche ich gerne nach.

Also, zur Problembeschreibung.
Auf meinem Laptop scheinen sich mehrere Trojaner zu tummeln. Beim Hochfahren aktivieren sich auf dem Desktop drei Verlinkungen mit den Titeln "Error Cleaner", "Privacy Protector" und "Spyware&Malware Protection." Diese verlinken auf äußerst fragwürdige Seiten, auf denen man sich einen Virenscanner downloaden soll.
Außerdem lassen sich in der Taskleiste nach der Datumsangabe "VIRUS ALERT!" und ein blinkendes Kreuz finden (anscheinend vom System selbst), die darauf hinweisen, dass man Viren im System hat und diese bereinigen sollte.

Des Weiteren poppen ca. alle 2-5 Minuten Fenster auf, die fragen, ob man sein System von Viren reinigen will - wieder mit äußerst merkwürdigen Verlinkungen.

Außerdem versucht der Wurm ca. alle 3 min., die Standartinternetseite des Internet Explorers zu ändern - was bisher von meinem Antivirenprogramm verhindert wurde.

Über den Arbeitsplatz lassen sich die lokalen Festplatten C:/ (Windowspartition) und D:/ nicht mehr aufrufen. Die externe Festplatte scheint jedoch von diesem Schwund nicht betroffen zu sein.

Nun meine Schritte, die ich bisher unternommen habe.
1) Mit McAfee VirusScan mehrmals durchgescannt - es konnten leider keine Viren entdeckt werden

Logfile:

Code:

ATTFilter

31.08.2008	23:05:16	Statistik:
31.08.2008	23:05:16	Gescannte Dateien:	69765
31.08.2008	23:05:16	Erkannte Dateien:  	0
31.08.2008	23:05:16	Gesäuberte Dateien:	0
31.08.2008	23:05:16	Gelöschte Dateien:	0
31.08.2008	23:05:16	Verschobene Dateien:	0
31.08.2008	23:07:17		Modulversion                            =	5.3.00
31.08.2008	23:07:17		DAT-Version                             =	5373
31.08.2008	23:07:17		Anzahl der Virussignaturen in EXTRA.DAT =	Kein
31.08.2008	23:07:17		Namen der Viren, die von EXTRA.DAT erkannt werden können=	Kein

Mit SUPER AntiSpyware ein paar Mal durchgescannt - folgende Ergebnisse:

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/31/2008 at 11:02 PM

Application Version : 4.20.1046

Core Rules Database Version : 3552
Trace Rules Database Version: 1540

Scan type       : Complete Scan
Total Scan Time : 02:39:51

Memory items scanned      : 449
Memory threats detected   : 0
Registry items scanned    : 6707
Registry threats detected : 1
File items scanned        : 72197
File threats detected     : 7

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@www.safewebnavigate2008[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@protect.trustedantivirus[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@protect.trustedantivirus[3].txt
	C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@scan.antispyware2008scanner[1].txt

Browser Hijacker.Internet Explorer Settings Hijack
	HKU\S-1-5-21-839522115-1383384898-1801674531-1004\Software\Microsoft\Internet Explorer\Main#Start Page [ h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 ]

Desktop Hijacker.AboutYourPrivacy
	C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url
	C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url
	C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url

Dies scheinen die Störenfriede zu sein - hoffentlich alle.
Ein entfernen der bezeichneten Dateien, sowie ein Bereinigen des Quarantäne-Ordners bringt allerdings nichts - beim Rebooten sind die Dateien wieder an Ort und Stelle.

Die "Windows-Warnungen" sehen übrigens folgendermaßen aus. Bisher hab ich da noch nichts gemacht und hoffe, ich liege damit richtig, dass der Virus und nicht Windows mir die Nachrichten schickt.

[img]
http://img222.imageshack.us/img222/6310/warninggy4.png
[/img]

Da ich mich damit wirklich nicht auskenne, hoffe ich mal auf eure Hilfe. Mit dem Hijack-Logfile konnte ich leider bisher nichts anfangen.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:51: VIRUS ALERT!, on 31.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\Programme\Network Associates\VirusScan\SHSTAT.EXE
D:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\LxrJD31s.exe
D:\Programme\Network Associates\Common Framework\FrameworkService.exe
D:\Programme\Network Associates\VirusScan\Mcshield.exe
D:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2DDE4FC8-F5D0-4983-8AE4-E88A06E27A45} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {A0B4FFEA-D466-49A8-9BB0-B7BBD2FCB449} - (no file)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ShStatEXE] "D:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206113951437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206115840375
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{365D9CC6-CC18-410F-B026-E614CEB21AAD}: NameServer = 131.188.24.147
O17 - HKLM\System\CCS\Services\Tcpip\..\{620A1774-A125-43CB-99E9-D6FF6A46476B}: NameServer = 172.17.24.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{65198C73-DCF8-4F75-ADF5-9B186590C122}: NameServer = 131.188.24.147,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{365D9CC6-CC18-410F-B026-E614CEB21AAD}: NameServer = 131.188.24.147
O17 - HKLM\System\CS2\Services\Tcpip\..\{365D9CC6-CC18-410F-B026-E614CEB21AAD}: NameServer = 131.188.24.147
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)
O20 - Winlogon Notify: xxyaabaw - xxyaabaw.dll (file missing)
O21 - SSODL: pdoskegl - {305A8ECF-356A-4053-BC3A-F33DE1CED254} - C:\WINDOWS\pdoskegl.dll
O21 - SSODL: rqbmvpso - {9CC8AE1A-7B50-4849-A981-42D344084221} - (no file)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Lexar JD31 (LxrJD31s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrJD31s.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - D:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 10191 bytes

Meine Frage also: Wie bringe ich diese Viren dazu, dauerhaft zu verschwinden? Gibt es vielleicht irgendeinen wirkungsvolleren Remover? Muss ich etwa mein ganzes System neu aufsetzen? Wie ernst ist die Gefahr?

Noch dazu einige Logs

mbr:

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

fsbl:

Code:

ATTFilter

08/31/08 23:59:35 [Info]: BlackLight Engine 1.0.70 initialized
08/31/08 23:59:35 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/31/08 23:59:35 [Note]: 7019 4
08/31/08 23:59:35 [Note]: 7005 0
08/31/08 23:59:38 [Note]: 7006 0
08/31/08 23:59:38 [Note]: 7011 232
08/31/08 23:59:38 [Note]: 7035 0
08/31/08 23:59:38 [Note]: 7026 0
08/31/08 23:59:38 [Note]: 7026 0
08/31/08 23:59:42 [Note]: FSRAW library version 1.7.1024
09/01/08 00:03:48 [Note]: 2000 1012
09/01/08 00:04:14 [Note]: 7007 0

Schon mal im Voraus vielen Dank für eure Hilfe.

Armano

P.S.: Wie gesagt, falls ich noch irgendwas vergessen habe, liefere ich das gerne nach. Hoffe mal, ich hab jetzt nicht allzuviele Fehler gemacht.

Chris4You · 01.09.2008, 06:28

Hi,

bitte MAM laufen&bereinigen lassen:

Malwarebytes Antimalware.
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html

Poste das Log...

chris

Armano · 01.09.2008, 15:11

Hi, chris4you,

Mensch, das war ja mal nen super Tip, hat alles funktioniert. Ich hab jetzt mal das Prog durchlaufen lassen und sofort wurde da alles entfernt. Geht eben doch nichts über professionelle Hilfe. Hier das log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1102
Windows 5.1.2600 Service Pack 2

15:30:40 01.09.2008
mbam-log-09-01-2008 (15-30-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|J:\|K:\|)
Durchsuchte Objekte: 188741
Laufzeit: 2 hour(s), 31 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 16
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\pdoskegl.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a0b4ffea-d466-49a8-9bb0-b7bbd2fcb449} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winbue32 (Dialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{305a8ecf-356a-4053-bc3a-f33de1ced254} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0\source (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\pdoskegl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\rqbmvpso (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (h**p://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76416-OEM-0011903-00117) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\eevk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winbue32.dll (Dialer) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM436dffa3.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM436dffa3.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\pdoskegl.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.

Dann nochmal nen Reboot und alle drei Virenscanner durchlaufen lassen. Bis auf den SUPERAntiSpyware findet keiner mehr was. Hier das Log:

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/01/2008 at 04:07 PM

Application Version : 4.20.1046

Core Rules Database Version : 3553
Trace Rules Database Version: 1542

Scan type       : Complete Scan
Total Scan Time : 02:42:16

Memory items scanned      : 491
Memory threats detected   : 0
Registry items scanned    : 6711
Registry threats detected : 0
File items scanned        : 121677
File threats detected     : 9

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@www.safewebnavigate2008[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@protect.trustedantivirus[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@protect.trustedantivirus[3].txt
	C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@scan.antispyware2008scanner[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@virusremover2008[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@pcprivacycleaner[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@gomyhit[3].txt
	C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@adtrafficstats[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@gomyhit[2].txt

Scheinen nur Cookies zu sein. Also nochmal CCleaner drüber und jetzt läuft der Scanner grad nochmal. ich poste mal, sobald der fertig ist, erwarte aber nichts großartiges mehr. Also nochmals vielen, vielen Dank

Armano

Chris4You · 01.09.2008, 15:41

Hi,

zur Sicherheit das es in letzter Zeit öfter vorgekommen ist, suchen wir noch nach einem Rootkit.

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

und gegen MBR-Rootkits:
Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

Schauen wir mal, ob noch was unerkannt rumliegt:
Datfind (Neusten Dateien finden)
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Erwarte aber eigentlich nichts mehr...

chris

Armano · 02.09.2008, 00:48

Hi Chris,

sorry, dass es so lange gedauert hat - hab gar keine Antwort mehr erwartet ;-)

Also, hier die logs, die du haben wolltest:

Avira AntiRootkit:

Code:

ATTFilter

1: HKEY_USERS\S-1-5-21-839522115-1383384898-1801674531-1004\Software\Microsoft\MediaPlayer\Preferences -> currentbackgroundscanfolder
2: Registry
3: Value data length mismatch (136 <> 28)
1: 1/2

No more information available

Code:

ATTFilter

1: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F} -> displayname
2: Registry
3: Value data mismatch
1: 2/2

No more information available

Hm, die gefundenen Dinge scheinen zumindest mal keine Rootkits zu sein. Da scheinen nur Daten von Microsoft zu fehlen. Naja, vielleicht bringt der CCleaner ja was.

Jetzt noch das mbr:

mbr:

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Wie von dir erwartet ist also alles ok.

Nun noch das datFind-log:

Code:

ATTFilter

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 405E-CC90

 Verzeichnis von c:\

02.09.2008  01:40                 0 dirdat.txt
02.09.2008  00:44     1.610.612.736 pagefile.sys

 Verzeichnis von C:\WINDOWS\system32

02.09.2008  00:45            45.378 nvapps.xml
31.08.2008  18:23             1.324 d3d9caps.dat
31.08.2008  16:23             2.206 wpa.dbl
30.08.2008  01:03           404.302 perfh009.dat
30.08.2008  01:03            63.522 perfc009.dat
30.08.2008  01:03            76.402 perfc007.dat
30.08.2008  01:03           419.554 perfh007.dat
30.08.2008  01:03           974.850 PerfStringBackup.INI
19.08.2008  23:24         1.633.760 FNTCACHE.DAT
05.08.2008  03:49           107.888 CmdLineExt.dll
25.07.2008  10:36           524.288 DivXsm.exe
25.07.2008  10:36             4.816 divxsm.tlb
25.07.2008  10:34            81.920 dpl100.dll
25.07.2008  10:34           196.608 dtu100.dll
25.07.2008  10:34            53.248 dpuGUI10.dll
25.07.2008  10:34           593.920 dpuGUI11.dll
25.07.2008  10:34           294.912 dpu11.dll
25.07.2008  10:34           294.912 dpu10.dll
25.07.2008  10:34           344.064 dpus11.dll
25.07.2008  10:34            57.344 dpv11.dll
25.07.2008  10:34           823.296 divx_xx07.dll
25.07.2008  10:34           815.104 divx_xx0a.dll
25.07.2008  10:34           802.816 divx_xx11.dll
25.07.2008  10:34           823.296 divx_xx0c.dll
25.07.2008  10:34           683.520 DivX.dll
25.07.2008  10:34           161.096 DivXCodecVersionChecker.exe
23.07.2008  18:50            10.152 dsm_de.qm
23.07.2008  18:50         3.596.288 qt-dx331.dll
23.07.2008  18:48         1.044.480 libdivx.dll
23.07.2008  18:48           200.704 ssldivx.dll
23.07.2008  18:47               416 dpl100.dll.manifest
23.07.2008  18:47               416 dtu100.dll.manifest
23.07.2008  18:47             8.523 dpude.qm
23.07.2008  18:47             3.051 dtu_de.qm
23.07.2008  18:47           352.401 DivXMedia.ax
23.07.2008  18:47           634.880 divxdec.ax
23.07.2008  18:46            12.288 DivXWMPExtType.dll
18.07.2008  22:10            94.920 cdm.dll
18.07.2008  22:10            53.448 wuauclt.exe
18.07.2008  22:10            45.768 wups2.dll
18.07.2008  22:10            36.552 wups.dll
18.07.2008  22:10            33.992 wucltui.dll.mui
18.07.2008  22:09            29.896 wuaucpl.cpl.mui
18.07.2008  22:09            29.896 wuapi.dll.mui
18.07.2008  22:09           325.832 wucltui.dll
18.07.2008  22:09           215.752 wuaucpl.cpl
18.07.2008  22:09           205.000 wuweb.dll
18.07.2008  22:09           563.912 wuapi.dll
18.07.2008  22:09         1.811.656 wuaueng.dll
18.07.2008  22:08            21.192 wuaueng.dll.mui
18.07.2008  22:07           270.880 mucltui.dll
18.07.2008  22:07            29.728 mucltui.dll.mui
18.07.2008  22:07           210.976 muweb.dll
09.07.2008  10:05             6.944 jupdate-1.6.0_07-b06.log
02.07.2008  03:42            43.520 CmdLineExt03.dll
10.06.2008  02:32            73.728 javacpl.cpl
10.06.2008  02:32           139.264 javaws.exe
10.06.2008  01:21           135.168 javaw.exe
10.06.2008  01:21           135.168 java.exe
06.06.2008  17:55           385.100 jTCbaGgh.ini
06.06.2008  17:52           385.100 jTCbaGgh.ini2
06.06.2008  11:12         1.570.597 roslpkwl.ini
06.06.2008  10:50           384.789 QsDdcccf.ini
06.06.2008  10:47           384.789 QsDdcccf.ini2
06.06.2008  08:02         1.570.706 ecfcycao.ini
06.06.2008  04:58               908 SecureSrv.log

 Verzeichnis von C:\WINDOWS

29.10.2008  16:31               685 win.ini
02.09.2008  00:46            89.329 WindowsUpdate.log
02.09.2008  00:45               159 wiadebug.log
02.09.2008  00:45                50 wiaservc.log
02.09.2008  00:45             2.048 bootstat.dat
01.09.2008  17:57             1.100 SchedLgU.Txt
01.09.2008  17:28               512 randseed.rnd
31.08.2008  20:05                 0 Sti_Trace.log
28.08.2008  02:45               116 NeroDigital.ini
19.08.2008  02:32             2.072 UPGRADE.TXT
18.08.2008  23:33               280 game.ini
11.08.2008  00:42           606.848 flashax.exe
11.08.2008  00:42            12.288 impborl.dll
18.06.2008  04:55               826 goldwave.ini

 Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

29.10.2008  17:33                 0 1290DE.dmp
29.10.2008  17:01                 0 CD5E3.dmp
29.10.2008  16:42           368.128 de-ga2pc.7z
02.09.2008  01:27                 0 3D.tmp
02.09.2008  00:50             2.102 jusched.log
02.09.2008  00:47        28.540.928 WFV6.tmp
02.09.2008  00:46        28.540.928 WFV3.tmp
01.09.2008  16:38         1.701.089 nsmail.tmp
01.09.2008  03:19           311.296 ~DF39F7.tmp
01.09.2008  01:29           114.688 ~DF689A.tmp
31.08.2008  23:47             4.637 amt.log
31.08.2008  23:47             2.181 alm.log
31.08.2008  23:47             1.093 TWAIN.LOG
31.08.2008  23:47                 2 Twain001.Mtx
31.08.2008  23:47               156 Twunk001.MTX
31.08.2008  23:39                 0 Twunk002.MTX
19.08.2008  23:34           158.960 SSUPDATE.EXE

Wow, das sind ja ganz schön viele Dateien. Da steig ich leider nicht mehr durch. Beim Durchschauen ist mir übrigens aufgefallen, dass da Dateien von 2004 drauf sein sollen - zu einem Jahr, wo ich den Laptop noch überhaupt nicht hatte...

Naja, sicher kannst du da nen bisschen mehr Licht ins Dunkel bringen.

In tiefer Verbundenheit verneige ich mich vor deinen Kenntnissen.

Armano

Chris4You · 02.09.2008, 07:08

Hi,

sieht gut aus, allerdings:
Hattest Du im Juni mal ein Problem?

06.06.2008 17:55 385.100 jTCbaGgh.ini
06.06.2008 17:52 385.100 jTCbaGgh.ini2
06.06.2008 11:12 1.570.597 roslpkwl.ini
06.06.2008 10:50 384.789 QsDdcccf.ini
06.06.2008 10:47 384.789 QsDdcccf.ini2
06.06.2008 08:02 1.570.706 ecfcycao.ini

Spaßeshalber schau Dir mal die Dateien an (in den Editor laden), benenne sie um (hänge ein .vir hinten dran). Das sollten Protokolldateien einer Infektion sein, ev. verschlüsselt (oder im Klartext, dann kannst Du mitlesen was Du alles gemacht hast, inkl. Passwörter im Klartext...)...

chris & out

Armano · 02.09.2008, 15:01

Hi chris,

hm, kann mich nicht erinnern, dass im Juni was war. Das letzte Problem beschäftigte mich letzten Winter, da hatte ich einen Vundo und musste das System neu aufsetzen. Aber im Juni? *grübel*

Naja, wie du schon gesagt hattest, die Dateien sind verschlüsselt, lesen kann man im Editor nix. Hab sie jetzt zwar umbenannt, weiß aber nicht so genau, was das helfen soll. Naja, kommt Zeit, kommt Rat.

Vielen Dank,
Armano

Chris4You · 03.09.2008, 10:24

Hi,

folgende Effekte:
- sollten sie wider Erwartung von einer App doch gebraucht werden, so lassen sie sich leicht "wiederherstellen"
- tauchen die Dinger wieder auf (von Zeit zu Zeit prüfen!), dann läuft noch etwas auf Deinem Rechner, was wir bisher noch nicht zu Gesicht bekommen haben (Rootkit)

chris & out

Armano · 03.09.2008, 14:58

Hi,

ok, werd das immer wieder mal prüfen. Vielen Dank für die schnelle und unkomplizierte Hilfe - schnell und zuverlässig, kann ich nur weiterempfehlen.

Vielen Dank noch mal an dich und das Trojaner-Board-Team.

Armano

Mehrere Trojaner auf meinem Laptop

Plagegeister aller Art und deren Bekämpfung: Mehrere Trojaner auf meinem Laptop