Hallo erstmal,

Habe seit gestern leider ein kleines Problem. Wenn ich meinen Firefox starten will, fährt er sofort wieder runter. Das Phänomen ist nur bei bestimmten Seiten zu beobachte ( Myspace, Amazon, ebay etc.), vllt liegt es an irgendwelchen Anwendungen auf den Seiten , kenne mich da leider nicht so gut aus.
Gut daraufhin habe ich ein wenig gegoogled und rausgefunden, dass es sich wohl um einen Virus handelt. Dann habe ich mal mein AntiVir drüber laufen lassen und der hat prompt auch 2 Verschiedene Trojaner entdeckt. Einmal den hier "html/rce.gen" und viermal den hier "TR/Spy.Delf.cfb.1". So habe diese dann in Quarantäne verschoben und meine Temporären Internetdaten und Cache mit dem CCleaner gelöscht.
Jetzt lässt sich der Firefox zwar wieder öffnen aber ich habe jetzt einen Seiten-Ladefehler: "Proxy-Server verweigert die Verbindung"
So jetzt weiss ich halt einfach nicht mehr weiter... Habe mal ein HJT-Logfile anbei gehängt. Hoffe ich habe soweit alles richtig gemacht.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:58, on 14.09.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\MMDiag.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mim.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Musik\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
D:\spiele\steam\steam.exe
C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Musik\Winamp\winamp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\proxy.pac
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MimBoot] C:\Programme\Musicmatch\Musicmatch Jukebox\mimboot.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [WinampAgent] D:\Musik\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [vhost] C:\WINDOWS\system\host.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 6893 bytes
         

So ich hoffe ihr könnt mir helfen.

mfG Allaton

Hallo

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

das sind denkbar schlechte Voraussetzungen, um sich im Internet zu bewegen, es fehlt mindestens das Servicepack 2 besser noch Servicepack 3.

Kannst du alle versteckten Dateien und Ordner sehen?

Lass bitte diese Datei

Zitat:

C:\WINDOWS\system\host.exe

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Überprüfe dein System bitte ebenfalls mit Blacklight
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
und poste das Log hierher.

MFG

EDIT

Zitat:

nochdigger war wohl schnell

nur schnell mit der Hand zum Kuchenteller

nochdigger war wohl schnell

Gut also die Links habe ich versucht so weit wie möglich zu befolgen. Habe jetzt die Ordneroptionen geändert.

Die Host.exe finde ich leider nicht mehr. Aber die wurde soweit ich weiss schon beim AntiVir Scan als befallen in Quarantäne verschoben. So ich habe jetzt mal die Datei, die ins Quarantäne Verzeichnis verschoben wurde scannen lassen.

Code: Alles auswählenAufklappen

ATTFilter

File size: 790832 bytes 
MD5...: 3fbfc98fc812b7623b2c2c1f7d3902fc 
SHA1..: fbb7bd10dc3bb6b978a78196e238ec688c74c5c2
         

Hier der Ausschnitt aus dem AntiVir Scan Log:

Code: Alles auswählenAufklappen

ATTFilter

Prozess 'host.exe' wird beendet
C:\WINDOWS\system\host.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Delf.cfb.1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493eb90b.qua' verschoben!
         

Hier noch schnell die anderen Funde aus dem AntiVir Log:

Code: Alles auswählenAufklappen

ATTFilter

C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Programme\peppi_vorlagen\lisys.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Delf.cfb.1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49402f5e.qua' verschoben!
C:\System Volume Information\_restore{3417AC0F-B5FA-4DEA-A30C-E39331ADD485}\RP847\A0063387.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Delf.cfb.1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48fd30f3.qua' verschoben!
C:\System Volume Information\_restore{3417AC0F-B5FA-4DEA-A30C-E39331ADD485}\RP849\A0063400.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Delf.cfb.1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48fd30fb.qua' verschoben!
Beginne mit der Suche in 'D:\' <Festplatte>
         

Blacklight habe ich auch durchlaufen lassen, der hat aber nix gefunden.

Code: Alles auswählenAufklappen

ATTFilter

09/14/08 20:22:51 [Info]: BlackLight Engine 1.0.70 initialized
09/14/08 20:22:51 [Info]: OS: 5.1 build 2600 (Service Pack 1)
09/14/08 20:22:52 [Note]: 7019 4
09/14/08 20:22:52 [Note]: 7005 0
09/14/08 20:22:57 [Note]: 7006 0
09/14/08 20:22:57 [Note]: 7011 3304
09/14/08 20:22:57 [Note]: 7035 0
09/14/08 20:22:57 [Note]: 7026 0
09/14/08 20:22:57 [Note]: 7026 0
09/14/08 20:23:00 [Note]: FSRAW library version 1.7.1024
09/14/08 20:25:56 [Note]: 2000 1012
09/14/08 23:22:43 [Note]: 7006 0
09/14/08 23:22:43 [Note]: 7011 3304
09/14/08 23:22:43 [Note]: 7035 0
09/14/08 23:22:43 [Note]: 7026 0
09/14/08 23:22:43 [Note]: 7026 0
09/14/08 23:22:46 [Note]: FSRAW library version 1.7.1024
09/14/08 23:26:00 [Note]: 2000 1012
09/14/08 23:27:43 [Note]: 7007 0
         

So ich glaube mehr konnte ich dann erstmal nich machen. Danke schonmal für die Hilfe ich hoffe, dass bald alles wieder richtig klappt

Hallo

leider kann ich dir nur eine schlechte Nachricht machen, du hast dir wohl diesen Freund hier
TR/Delf.Agent.ABC - Vollstndig
eingefangen.
Dieser Schädling verfügt über Backdooreigenschaften

Zitat:

Hintertür
Kontaktiert Server:
Den folgenden:
• hxxp://89.107.66.239/**********

und du solltest, auch auf Grund des mangelhaften Patchstandes, ernsthaft über eine Neuinstallation nachdenken.
Du solltest auch einen Blick auf die "Diebstahlliste" werfen und schauen ob du dort evtl. Kunde/Mitglied bist.
Ändere auf jeden Fall alle deine Pass- und Kennwörter nach der Neuinstallation oder von einem sauberen System aus.
Sichere keine ausführbare Dateien und keine Dateien aus unseriösen Quellen wie P2P.

MFG

Verdammt...

Ist also die Neuinstallation die einzige Möglichkeit deiner Meinung nach? Das wär natürlich nicht so schön und auch wieder mit sehr viel Arbeit verbunden...
Was meinst du denn mti "Diebstahlliste" wo kann ich die denn einsehen? Kann ich bei dem Neuaufsetzen, beim Speichern von alten Dateien (Musik, Filme etc.), nicht das neue System wieder infizieren?

mfG Allaton

Hallo

Zitat:

Ist also die Neuinstallation die einzige Möglichkeit deiner Meinung nach?

um das System wieder vertrauenswürdig zu bekommen, ja, das ist meine Meinung.

Zitat:

Was meinst du denn mti "Diebstahlliste" wo kann ich die denn einsehen?

siehe unter Diebstahl nach
TR/Delf.Agent.ABC - Vollstndig

Zitat:

Kann ich bei dem Neuaufsetzen, beim Speichern von alten Dateien (Musik, Filme etc.), nicht das neue System wieder infizieren?

Überprüfe deine gesicherten Daten vom neuen System aus mit einem aktuellen Antivirenprogramm, dann weist du ob und was wiederverwendet werden kann.

MFG

Also heisst das jetzt, wenn Seiten in der Diebstahlliste sind, die ich verwende, sind meine Passwörter ungeschützt und könnten missbraucht werden? Das wär natürlich sehr unschön ^^

Oha so langsam verlier ich wirklich die Lust. Da werd ich mich wohl die Tage mal hinsetzen müssen und alles neu machen...