Servus,hab mir von ner knappen halben Stunde diesen Fake-Virenscanner zugezogen.Auf dem anscheined herkömmlichen Weg(Stream) .Hab meinen Laptop bis jetzt auch nicht abgeschaltet.
Nun Folgend meine Schritte:
1.Systemwiederherstellung deaktiviert
2.Malwarebytes Antimalware durchlaufen lassen
Fragen:
3.Soll ich nun direkt die gefundenen Dateien löschen ohne in den abgesicherten Modus zu gehen oder wär es zu empfehlen erstmal in den abgesicherten Modus zu gehen?Virenscanner (Antivir) vorher deaktivieren?
Oder vorher nochmal HijackThis drüberlaufen zu lassen?
4.Und ist es überhaupt ratsam die ganzen Reinigungsprogramme im unabgesicherten Modus zu installieren oder werden die dann auf irgendeine Weise schon korrumpiert?Bin n totaler Noob ,also entschuldigt meine lebhafte Phantasie.

Allerbesten Dank für jegl Antworten


So poste jetz mal die logfile



#Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1103
Windows 5.1.2600 Service Pack 2

02.09.2008 14:21:49
mbam-log-2008-09-02 (14-21-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 104909
Laufzeit: 38 minute(s), 48 second(s)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 12
Infizierte Dateien: 24

Infizierte Speicherprozesse:
C:\Programme\rhccjpj0e72c\rhccjpj0e72c.exe (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\pphc9jpj0e72c.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\system32\blphc9jpj0e72c.scr (Trojan.FakeAlert) -> No action taken.
C:\Programme\rhccjpj0e72c\msvcp71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhccjpj0e72c\MFC71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhccjpj0e72c\msvcr71.dll (Rogue.Multiple) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhccjpj0e72c (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\rhccjpj0e72c (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhccjpj0e72c (Rogue.Multiple) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc9jpj0e72c (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\rhccjpj0e72c (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\lap top\Anwendungsdaten\rhccjpj0e72c (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\lap top\Anwendungsdaten\rhccjpj0e72c\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\lap top\Anwendungsdaten\rhccjpj0e72c\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\lap top\Anwendungsdaten\rhccjpj0e72c\Quarantine\Packages (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\lap top\Anwendungsdaten\rhccjpj0e72c\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\lap top\Anwendungsdaten\rhccjpj0e72c\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\lap top\Anwendungsdaten\rhccjpj0e72c\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\lap top\Anwendungsdaten\rhccjpj0e72c\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\lap top\Anwendungsdaten\rhccjpj0e72c\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\lap top\Anwendungsdaten\rhccjpj0e72c\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\lap top\Anwendungsdaten\rhccjpj0e72c\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\blphc9jpj0e72c.scr (Trojan.FakeAlert) -> No action taken.
C:\Programme\rhccjpj0e72c\rhccjpj0e72c.exe (Rogue.Multiple) -> No action taken.
C:\Programme\rhccjpj0e72c\database.dat (Rogue.Multiple) -> No action taken.
C:\Programme\rhccjpj0e72c\msvcp71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhccjpj0e72c\MFC71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhccjpj0e72c\MFC71ENU.DLL (Rogue.Multiple) -> No action taken.
C:\Programme\rhccjpj0e72c\msvcr71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhccjpj0e72c\license.txt (Rogue.Multiple) -> No action taken.
C:\Programme\rhccjpj0e72c\rhccjpj0e72c.exe.local (Rogue.Multiple) -> No action taken.
C:\Programme\rhccjpj0e72c\Uninstall.exe (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\phc9jpj0e72c.bmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\lphc9jpj0e72c.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\pphc9jpj0e72c.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk (Rogue.Antivirus) -> No action taken.
C:\Dokumente und Einstellungen\lap top\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> No action taken.#


Nun hab ich hier schon einige Posts durchforstet.Und etliche andere Lösungswege gefunden
z.B.:
1.SmitFraudFix (wäre es ratsam diesen nach Entfernung durch Malwarebytes nochmals durchlaufen zu lassen ?)

Hi,

lass MAM laufen und bereinigen (im Normalmodus)...

Dann bitte ein HJ-Log gemäß Signatur und wir schauen mal weiter...

chris

so hab das programm die funde im normalen modus entfernen lassen.(die die es möglich war auf diese weise zu entfernen,einige sollten bei neustart entfernt werden)
Problem:
Hab im normalen Modus neugestartet
ANtimalware nochmal durchlaufen lassen = 0Funde
jedoch hat mir Antivir gleich noch 2 Viren bzw. Trojaner(Tr/Dldr.FroadLoa.NC und VBS/Agent.1002) gemeldet während des scanvorgangs.

weitere vorgehensweise:
Windows im abgesicherten modus neustarten und nochmal scannen?
oder
erstma die hijackthis-log hochladen?

Hi,

bitte HJ-Log und welche Dateien wurden von Antivir angemosert?
Ist die Heuristik eingeschaltet bei Antivir?
Sonst lade die erkannten Dateien hoch und lass sie bei virustotal prüfen:

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Das Problem bei Antivirus 2008, er zieht u. U. einiges nach sich....

chris

hab halt direkt die systemwiederherstellung deaktiviert,hoffe daher das da nicht soviel reingeschleust wurde:
meine Schritte bis jetzt:
1.malwarebytes durchlaufen lassen,funde entfernt,restliche bei neustart
2.windows im abgesicherten M neugestartet
malwarebytes durchlaufen lassen:0 Funde
antivir zeigt:Tr/Dldr.FroadLoa.NC
VBS/Agent.1002
3.antivir im abgesicherten Modus Virus bzw. Trojaner entfernen lassen,
4.Windows im normalen Modus neugestartet :
xp antivirus weg
Avira antivir durchlaufen lassen:kein Fund
5.Hab jetzt grad nochmal die Antivir-history durchgeschaut,
und nen Blick in den Ordner geworfen,wo die Viren bzw.Trojaner
sich befanden...gefunden hab ich ne
.tmp.exe die sich von der Ursprungsdatei nur in einer Ziffer unterschied
,lass ich jetzt grad bei virustotal durchlaufen,ist jetzt grad bei 33%
und hat schon einige Treffer gelandet

Meine Frage kann ich das Programm jetzt ohne Probleme auf dem normalem Wege löschen oder sollte ich da besser n Tool benutzen.




Frage:Äh,was ist die Heuristik? Datensammlung über eventuelle Bedrohung?


Sir,Thx a lot
für jede Antwort

hier nochmal ne aktuelle Hjt-Log:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:13:20, on 03.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\DOKUME~1\LAPTOP~1\LOKALE~1\TEMP\INSTAL~2.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Tech\Wheel Mouse\5.0\MOUSE32A.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Philips\Philips SPC210NC Webcam\TrayMin210.exe
C:\WINDOWS\system32\wuauclt.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\lap top\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\Wheel Mouse\5.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC210NC Webcam
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TrayMin210.exe.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126863156098
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. Installer service (CiscoVpnInstallService) - Unknown owner - C:\DOKUME~1\LAPTOP~1\LOKALE~1\TEMP\INSTAL~2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 8246 bytes

die beiden Plagegeister befinden bzw. befanden sich einmal in
Benutzername/Lokale einstellungen/Temp (dldr.froadloa.nc)
und
der andere in Windows/system32(agent.1002)

hoffe das gibt rückschlüsse darauf ob das problem noch tiefer sitzt...

Ps.:werde die logs und scans in seperaten posts unterbringen,weil imho das auf jeden fall die übersichtlichkeit erhöht

antivir rootkit log:

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started Mittwoch, 3. September 2008 - 14:38:04
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 27.92 GB
- Working disk free size : 4.90 GB (17 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/0
Registry items: 0/0
Processes: 0/0
Scan time: 00:00:00
--------------------------------------------------------------------------------------------------------
Active processes:
========================================================================================================
- Scan finished Mittwoch, 3. September 2008 - 14:38:04
========================================================================================================




dann nochmal die analyse der datei die ich in der /temp gefunden hab:

Zitat:

Datei .tt28C.tmp.exe empfangen 2008.09.03 14:00:31 (CET)
Status: Beendet
Ergebnis: 12/36 (33.33%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.3.0 2008.09.03 -
AntiVir 7.8.1.23 2008.09.03 -
Authentium 5.1.0.4 2008.09.03 -
Avast 4.8.1195.0 2008.09.03 Win32:Fraudo
AVG 8.0.0.161 2008.09.03 Downloader.FraudLoad
BitDefender 7.2 2008.09.03 Adware.XpAntivirus.AJ
CAT-QuickHeal 9.50 2008.09.02 -
ClamAV 0.93.1 2008.09.03 Trojan.Peed.IG
DrWeb 4.44.0.09170 2008.09.03 -
eSafe 7.0.17.0 2008.09.02 -
eTrust-Vet 31.6.6066 2008.09.03 -
Ewido 4.0 2008.09.03 -
F-Prot 4.4.4.56 2008.09.03 -
F-Secure 8.0.14332.0 2008.09.03 -
Fortinet 3.14.0.0 2008.09.03 -
GData 19 2008.09.03 -
Ikarus T3.1.1.34.0 2008.09.03 Malware-Cryptor.Win32.Rp
K7AntiVirus 7.10.437 2008.09.02 -
Kaspersky 7.0.0.125 2008.09.03 not-a-virus:FraudTool.Win32.AntivirusXP2008.ah
McAfee 5375 2008.09.02 -
Microsoft 1.3903 2008.09.03 TrojanDownloader:Win32/Renos.gen!AQ
NOD32v2 3411 2008.09.03 a variant of Win32/Kryptik.J
Norman 5.80.02 2008.09.02 -
Panda 9.0.0.4 2008.09.02 -
PCTools 4.4.2.0 2008.09.02 -
Prevx1 V2 2008.09.03 Malicious Software
Rising 20.60.21.00 2008.09.03 -
Sophos 4.33.0 2008.09.03 Mal/FakeAV-B
Sunbelt 3.1.1582.1 2008.09.02 -
Symantec 10 2008.09.03 -
TheHacker 6.3.0.8.070 2008.09.02 -
TrendMicro 8.700.0.1004 2008.09.03 -
VBA32 3.12.8.4 2008.09.03 Malware-Cryptor.Win32.Rp
ViRobot 2008.9.2.1361 2008.09.03 -
VirusBuster 4.5.11.0 2008.09.02 -
Webwasher-Gateway 6.6.2 2008.09.03 Win32.Malware.gen!86 (suspicious)
weitere Informationen
File size: 1603590 bytes
MD5...: dab27d7eebb335c50e041eb2741a23ad
SHA1..: 8c5e4553054b4c1e11c1a3d094739198bbc164ec
SHA256: c476671a390e7296317936581370fec37bf8ff4dec599058791366dd6651d530
SHA512: 95657b2a56f64124c5bbe54afe9230611fe8c46e178d63880480a7de54d8b8f5
133e32c19f527c90d7af6f6225636273a8c67a96e6add4ff3f8fea661a13eb3f
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (55.7%)
Clipper DOS Executable (14.8%)
Generic Win/DOS Executable (14.7%)
DOS Executable Generic (14.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4014c4
timedatestamp.....: 0x48bd1357 (Tue Sep 02 10:20:07 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.code 0x1000 0x2f910 0x2600 3.49 9155c97fb6a9106a0c851adef7cd1a89
DATA 0x31000 0x98e8 0x9000 7.99 1dfaa12defba3de5e40852465b123017
.rsrc 0x3b000 0x1000 0x400 7.53 a50769bad60c3e9c1ba126a132e4e92d
.idata 0x3c000 0xaa0 0x800 2.81 ffda2e20bd30f67813cceed5e39bf806
.reloc 0x3d000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.pack32 0x3e000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 3 imports )
> kernel32.dll: SetStdHandle, GetWindowsDirectoryA, GetEnvironmentStrings, FreeResource, FlushConsoleInputBuffer, EscapeCommFunction, CreateDirectoryExA, SetConsoleTextAttribute, RtlFillMemory, GetTapePosition, FatalExit
> user32.dll: SetWindowContextHelpId, RegisterClipboardFormatW, VkKeyScanExA, CharUpperBuffW, CallNextHookEx, MonitorFromPoint, SendDlgItemMessageA, ChangeDisplaySettingsW, IsCharAlphaA, SetDlgItemTextW
> shell32.dll: SHGetMalloc, CommandLineToArgvW, StrChrIA, ExtractIconA, StrRChrIA, ExtractIconEx, SheGetDirA, PrintersGetCommand_RunDLL, InternalExtractIconListA, ShellAboutW

habe diese fragliche Datei jetzt manuell entfernt und werd jetz noch mal den GMER drüberlaufen lassen,um jeglichen Rootkit-Gefahren aus dem Weg zu gehen

Gmer-Log von vollständigem Scan:



GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-03 14:54:16
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT d346bus.sys (PnP BIOS Extension/ ) ZwClose [0xF8507D08]
SSDT d346bus.sys (PnP BIOS Extension/ ) ZwCreateKey [0xF8507CC0]
SSDT d346bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xF84FBA20]
SSDT F8C86074 ZwCreateThread
SSDT d346bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF84FC4FC]
SSDT d346bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF8507E00]
SSDT d346bus.sys (PnP BIOS Extension/ ) ZwOpenFile [0xF84FBA60]
SSDT d346bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xF8507C84]
SSDT F8C86060 ZwOpenProcess
SSDT F8C86065 ZwOpenThread
SSDT d346bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xF84FC51C]
SSDT d346bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xF8507D56]
SSDT d346bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xF8507230]
SSDT F8C8606F ZwTerminateProcess
SSDT F8C8606A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!_abnormal_termination + 228 804E2884 1 Byte [ 84 ]
.text ntoskrnl.exe!_abnormal_termination + 22A 804E2886 2 Bytes [ 50, F8 ]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Fastfat \FatCdrom 82329EF8

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 mouclass.sys (Mausklassentreiber/Microsoft Corporation)

Device \Driver\Cdrom \Device\CdRom0 820635A0
Device \FileSystem\Rdbss \Device\FsWrap 82256AB8
Device \Driver\Cdrom \Device\CdRom1 820635A0
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 81F891E0
Device \Driver\atapi \Device\Ide\IdePort0 81F891E0
Device \Driver\atapi \Device\Ide\IdePort1 81F891E0
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 81F891E0
Device \FileSystem\Srv \Device\LanmanServer 8204A7D0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82257238
Device \FileSystem\MRxSmb \Device\LanmanRedirector 82257238
Device \FileSystem\Npfs \Device\NamedPipe 820A4210
Device \FileSystem\Msfs \Device\Mailslot 820A5210
Device \Driver\d346prt \Device\Scsi\d346prt1Port2Path0Target0Lun0 820DDAD8
Device \Driver\d346prt \Device\Scsi\d346prt1 820DDAD8
Device \FileSystem\Fastfat \Fat 82329EF8

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Fs_Rec \FileSystem\NtfsRecognizer 820D61E8
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 820D61E8
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 820D61E8
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 820D61E8
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 820D61E8
Device \FileSystem\Cdfs \Cdfs 820E9C80

---- Modules - GMER 1.0.14 ----

Module _________ F8465000-F847D000 (98304 bytes)

---- Services - GMER 1.0.14 ----

Service system32\drivers\TDSSserv.sys (*** hidden *** ) [SYSTEM] TDSSserv <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\d346prt\Cfg\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}@DisplayName DAEMON Tools
Reg HKLM\SOFTWARE\Classes\Installer\Products\B3D5AC652003B7E409EF70D1F8FD8341@ProductName DAEMON Tools

---- EOF - GMER 1.0.14 ----










---->Gmer Mbr Scan ergab keine Ergebnisse (user&kernel mbr OK)

Log der 2 entfernten Unholde durch Antivir:
Die Datei 'C:\Dokumente und Einstellungen\lap top\Lokale Einstellungen\Temp\.tt289.tmp.vbs'
enthielt einen Virus oder unerwünschtes Programm 'VBS/Agent.1002' [virus].
Durchgeführte Aktion(en):
Eine Sicherungskopie wurde unter dem Namen 4932604a.qua erstellt ( QUARANTÄNE ).
Die Datei wurde gelöscht.

Die Datei 'C:\WINDOWS\system32\292.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.FraudLoa.NC' [trojan].
Durchgeführte Aktion(en):
Eine Sicherungskopie wurde unter dem Namen 48f05a81.qua erstellt ( QUARANTÄNE ).
Die Datei wurde gelöscht.




hab die heuristik einstellungen bei antivir vorgenommen und gleich nochmal 3 verdächtige Dateien gefunden:

Die Datei 'C:\Dokumente und Einstellungen\lap top\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SBBRY324\._file[1].exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/FraudPack.26624' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4924c868.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\lap top\Lokale Einstellungen\Temp\Acr276.tmp'
enthielt einen Virus oder unerwünschtes Programm 'EXP/PDF.W' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4930c7f0.qua' verschoben!

Die Datei 'C:\Recycled\Dc62.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Fakealert.CW' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f4d286.qua' verschoben!

Soll ich die jetz einfach aus dem quarantäne-Ordner löschen oder gibts da was gegen einzuwenden ???

Hi,

ja bitte Quarantäneordner löschen und noch combofix durchführen & Log posten:

Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

Hat bei mir n bissl gedauert:Uni-Stress

folgendermaßen hab bei meinem laptop leider nur recovery-versionen
von windows xp dazu bekommen.Und konnte die wiederherstellungskonsole wie angezeigt über "ausführen" nicht installieren.

Versuch jetzt grad die cf-schritte abzuarbeiten.

Bei microsoft hab ich mir also grad diese verlinkte programmdatei heruntergeladen wobei es sich laut Bezeichnung um ein Programm zur Herstellung von Windows-Startdisketten handelt.

Wollte jetz ma anfragen ob das in der Weise alles in Ordnung ist und ich jetzt wie beschrieben combofix downloaden und das programm einfach auf die cf.exe ziehen kann.

Sorry,für die vllt etwas dümmliche frage,hab halt n bissl muffe,weil combofix ja schon n relativ radikales Programm ist (wie ich hier gelesen hab )

thx