hallo!
ich glaube, ich habe einige ziemliche probleme.

1.seit einiger zeit meldet mir mein antivir beim test und beim anschluss ans internet, dass sich der trojaner SpamBot.G im pfad C:/WINDOWS/system32/drivers/tcpsr.sys befindet.der virus wird auch geheilt (zumindest bestätigt dies die meldung von antivir) und landet in der virenquarantäne, taucht aber bei jedem neustart wieder auf.


2.bei einer meiner letzten anmeldungen habe ich ein upgrade für meinen internet explorer heruntergeladen.nach der installation wurde der computer neu gestartet und ich klickte auf die verknüpfung, aber es konnte keine verbindung zum internet hergestellt werden.es kam auch nicht die übliche meldung, dass die seite nicht angezeigt werden kann, wie es normalerweise der fall ist, wenn keine verbindung hergestellt ist.über den task-manager wurde auch nichts angezeigt.also ich konnte den vorgang nicht abbrechen.ich habe den internet explorer gelöscht und von cd neu installiert, allerdings ohne add-ons, da man diese ja nur herunterladen kann.nun kam ich auch ins internet und habe mir dann die add-ons heruntergeladen von der windowsseite.nach dem neustart tauchte jetzt wieder das gleiche problem auf und ich bekam von antivir die nachricht, dass nun das trojanische pferd rootkit.agent entdeckt worden ist.ich kann aber diesen virus nun weder heilen noch löschen und nur ignorieren.ich bin leider nicht sehr mit der technik von computern vertraut, wie man vielleicht schon erkennt das zusätzliche problem ist halt, dass ich nun so über meinen laptop nicht ins internet komme.hängen diese probleme mit dem ersten trojaner zusammen?

es wäre super, wenn ihr mir helfen könntet.bin nämich ziemlich ratlos.
danke schonmal im vorraus.

Hi,

sag uns bitte welches Betriebssystem du hsat und poste ein HijackThis log.

lg myrtille

hallo nochmal
mein betribssystem ist windows XP und hier der hijackthislog:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:08:56, on 16.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\Grisoft\AVG7\avgw.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] c:\WINDOWS\system32\Macromed\Flash\GetFlash.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] c:\WINDOWS\system32\Macromed\Flash\GetFlash.exe (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O20 - Winlogon Notify: cryptonet - cryptonet.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 8658 bytes
         

danke schonmal für die schnelle rückmeldung. lg!

Hi,
abreite bitte das ab:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

hi.
habe mir combofix heruntergeladen und in dem link zum leitfaden dafür steht, dass ich mir die xp wiederherstellungskonsole herunterladen soll.das habe ich getan, aber wenn ich die datei auf das combofix-piktogramm ziehe und den mausknopf loslasse, will das programm sofort starten und installiert mir nicht die konsole.ist es denn notwendig, diese zu installieren?will halt nichts falsch machen lg!

Hi,

Erscheint ein grauer Balken bevor der Disclaimer kommt? Poste bitte den Inhalt von C:\combofix.txt
Hast du die Datei umbenannt bevor du sie auf Combofix gezogen hast?

lg myrtille

nein, ein grauer balken erscheint nicht.habe sie auch nicht umbenannt.dann werde ich das mal tun.also kann ich trotzdem ruhig combofix durchlaufen lassen ohne die konsole vorher zu installieren?eine frage noch zu ccleaner: habe die analyse durchgeführt und wollte fragen, ob der auch meine ganzen songs und videos löscht, da er sie angezeigt hat.würde die nämlich ungerne verlieren kann ich combofix auch erstmal ohne CCleaner vorher benutzt zu haben starten?

ich weiß, ich hab echt nicht viel ahnung.danke schonmal für deine geduld.
lg!

Hi,

CCleaner zeigt dir doch am Schluss an, was er löschen möchte. Da kannst du überprüfen, ob deine Musikdateien betroffen sind.

Ich habe es schon einmal erlebt, dass ein Programm ungefragt Musikkollektionen gelöscht hat und habe nie herausgefunden wodurch das verursacht wurde, von daher will ich mal nicht kategorisch "nein" sagen. Möglich ist alles.

Hättest du zur Not ein Windows-CD zur Hand?

lg myrtille

ok, ich werde mir einfach meine musikdateien u.ä. auf ne externe festplatte ziehen, damit wirklich nichts passiert.das wäre das schlimmste studiere nämlich musik (wie man an meiner ahnung von computern erkennen könnte ) leider habe ich eine windows cd hier nicht zu hand.wegen der wiederherstellungskonsole, oder?bin bald aber wieder in meiner studienstadt, da müsste ich sie haben.wäre dann nächste woche montag wieder da.wäre es schlimm, so lange noch zu warten???beeinträchtigungen selbst habe ich so am laptop nämlich nicht.wäre nur nicht schön, wenn dritte zugriff hätten.könnte ich denn combofix trotz allem durchlaufen lassen?dann könnte ich dir den log wenigstens schonmal schicken.vielen dank für deine geduld
lg gagsman!!!

Hi,

die Sache ist wie folgt: Gelegenltich, ganz gelegentlich geht etwas schief, etwa weil auf dem Rechner ungewöhnliche Einstellungen vorgenommen wurden, oder weil Malware es schafft die Programme zu manipulieren.
Wenn das passiert und das Betriebssystem danach von sich aus nicht mehr starten kann, dann braucht man die Recoverykonsole um die letzten Handlungen von CF rückgängig machen zu können.

Solltest du jetzt also CF ausführen und etwas schiefgehen, dann müsstest du bis Montag warten, damit wir das ganze wieder geradebiegen können.
Alternativ kannst du auch am Montag neuaufsetzen. Ist wahrscheinlich schneller und wenn du deine Daten eh auf externen Medien gesichert hast, auf jedenfall die "sauberste" Lösung.

Der Rechner sollte definitiv vom Internet getrennt bleiben und du solltest auch unbedingt all deine Passwörter von einem sauberen Rechner aus ändern.
Wenn ich ehrlich bin, halte ich Neuaufsetzen für die einzige wirkliche Alternative. Ich Wollte mich vorher aber noch vergewissern, dass der befürchtete Befall wirklich auf deinem Rechner ist.

lg myrtille

ok.danke für deine schnelle antwort.also ne externe festplatte habe ich zwar leider selbst nicht, könnte sie mir aber für den vorgang leihen.also könnte combofix selbst nicht die trojaner entfernen?avg meldet mir auch bei jedem neustart den fund vom rootkit.agent.av und spambot, wobei ich den rootkit nur ignorieren kann.der spambot lässt sich zwar heilen,ist beim nächsten mal halt wieder da.wollte eigentlich Neuaufsetzen vermeiden, aber da bleibt mir wohl keine andere wahl was könnte denn theoretisch passieren, wenn sie drauf blieben?nur aus interesse, werde definitiv neuaufsetzen!

vielen dank für deine ehrenamtliche hilfe!
lg gagsman

Hi,

nen Spambot ist in der Regel ein Bot, der über deinen Rechner Spammail verschickt, je nachdem wie aktiv dein Internetprovider gegen solche Sachen vorgeht, wird die früher oder später der Internetzugang gesperrt, bis du die Sache geregelt hast.
Sowas ist ärgerlich, aber man bekommt selbst wenig davon mit. Höchstens eine Verlangsamung der Internetverbindung.

Problematischer ist der Kollege, der dich mit diesem Eintrag gesegnet hat:

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

Das ist in der Regel ein Zbot. Der Kamerad liest deine Passwörter aus und sendet die an seinen Besitzer. (Wenn du eine Webseite hast, auf die du vom infizierten Rechner zugegriffen hsat, solltest du überprüfen, dass deine Webseite "sauber" ist und nicht auf Malwareseiten verlinkt)
Der Rootkit.Agent gehört vermutich auch zum Zbot, da dieser Rootkittechnolige nutzt um sich vor Windows und wenn möglich auch Antivirenscannern zu verstecken.

Außerdem ist davon auszugehen, dass die bisher installierten Trojaner/Bots/Malware weitere Malware nachlädt und auf deinem Rechner installiert.

Wenn Combofix läuft, würde es auf jedenfall einen guten Teil der Infektion entfernen. Ob es alle Befälle entfernt, lässt sich unter solchen Zuständen aber eigentlich nicht sagen, weswegen ich das Neuaufsetzen empfehle.

lg myrtille

ok, vielen dank dafür.dann werde ich lieber neuaufsetzen.denn das hört sich wirklich nicht allzu gut an.werde mir dabei auch lieber helfen lassen aber danke für deine tipps und antworten.fands selbst schon komisch, dass ich erst nur den spambot hatte und nach einiger zeit noch der rootkit dazu kam.dankeschön!
lg gagsman!

hi nochmal.
eine frage habe ich noch.wie kann ich das überprüfen?
zitat:
"Wenn du eine Webseite hast, auf die du vom infizierten Rechner zugegriffen hsat, solltest du überprüfen, dass deine Webseite "sauber" ist und nicht auf Malwareseiten verlinkt"
ansonsten hast du noch einige tipps für mich wegen des neuaufsetzens?vor allem, weil ich einige programme und dateien nicht verlieren möchte.das wars dann jetzt aber auch vielen dank.
lg gagsman

Hi,

zum Neuaufsetzen haben wirl ne Anleitung, die eigentlich sehr vollständig ist: klick mich

Das meiste wird darin erklärt: Sichern sollte man nur Dateien die nicht ausführbar sind. Also Musik, Filme, Dokumente und so.
Auf jedenfall das SP2 (am besten gleich SP3) von nem sauberen Rechner besorgen und installieren, bevor Kontakt zum Internet hergestellt wird.


Deine Webseite kannst du einfach überprüfen, indem du dir deine Seiten herunterlädst und dann schaust ob dort etwas verändert worden ist.
Wenn du noch ein Backup deiner Seite hast, dann kannst du auch einfach alles auf deinem Webspace löschen und dein Backup hochladen. (Das dann nachdem du das Passwort geändert hast und von dem sauberen Rechner aus) Dann sollte die Seite eigentlich sauber sein.

lg myrtille