Hallo zusammen!

Das ist mein erster Beitrag (hoffentlich geht das so einigermaßen in Ordnung) und gleichzeitig Hilfeschrei in diesem Forum, weil ich auch zum ersten Mal überhaupt richtig Probleme mit Trojaner & Co. habe.

System:
Ich --> Laie
Computer --> Win XP HE 2002 SP 3

Problem:
Vor ein paar Tagen schlug AntiVir an und meldete u.a. TR/Fakealert, -Fakescanner, -Spy, -Rootkit, BDS/Backdoor, VBS/Agent, sowie hiddenscript oder s.ä.. Dazu kamen ein weißer Desktop mit dämlichen Warnfenster und ein blöder Bluescreen-Bildschirmschoner. Mit diesen Suchbegriffen bin ich dann hier gelandet und habe festgestellt, das ich nicht allein mit diesem Problem dastehe.

Maßnahmen:
Beiträge dazu lesen und versuchen zu verstehen (ähem), Systemprüfungen mit AntiVir (zum Schluß keine Funde mehr) und Windows-Update.
Es blieben weißer Desktop ohne Warnfenster und der Bluescreen-Bildschirmschoner. Dann habe ich heute Super*antispyware und Malewarebytes geladen, gescannt und Berichte erstellt, die ich einfüge.




SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/22/2008 at 06:02 PM

Application Version : 4.21.1004

Core Rules Database Version : 3575
Trace Rules Database Version: 1563

Scan type : Complete Scan
Total Scan Time : 01:02:12

Memory items scanned : 481
Memory threats detected : 0
Registry items scanned : 5583
Registry threats detected : 3
File items scanned : 104244
File threats detected : 32

Adware.Tracking Cookie
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@webmasterplan[2].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@2o7[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@de.sitestat[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@clickaider[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@mediaplex[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@adserver.trojaner-info[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@kontera[2].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@adtech[2].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@ad.adfill[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@adopt.euroclick[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@adfarm1.adition[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@advertising[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@doubleclick[2].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@apmebf[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@tradedoubler[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@www.etracker[2].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@zanox-affiliate[1].txt
C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@estat[1].txt

Rogue.WindowsSecurityAdviser
C:\Programme\Microsoft Security Adviser\msctrl.exe
C:\Programme\Microsoft Security Adviser\mssadv.log
C:\Programme\Microsoft Security Adviser\mssadv_sp.log
C:\Programme\Microsoft Security Adviser

Rogue.AntiVirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008.lnk

Trojan.FakeAlert/Desktop
HKU\S-1-5-21-1912322583-231662381-3233417756-1007\CONTROL PANEL\DESKTOP#WALLPAPER
HKU\S-1-5-21-1912322583-231662381-3233417756-1007\CONTROL PANEL\DESKTOP#ORIGINALWALLPAPER
HKU\S-1-5-21-1912322583-231662381-3233417756-1007\CONTROL PANEL\DESKTOP#CONVERTEDWALLPAPER

Trojan.Unclassified/MSCTRL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{690F8753-E79B-4C47-A7A7-47173CEE7988}\RP5\A0000245.EXE

NotHarmful.Sysinternals Bluescreen Screen Saver
C:\WINDOWS\SYSTEM32\BLPHCJO1J0ER9C.SCR
C:\WINDOWS\Prefetch\BLPHCJO1J0ER9C.SCR-1899AD8A.pf




Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1193
Windows 5.1.2600 Service Pack 3

22.09.2008 19:23:30
mbam-log-2008-09-22 (19-23-30).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 141440
Laufzeit: 42 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcno1j0er9c (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcno1j0er9c (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcno1j0er9c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt90B.tmp (Adware.XPAntivirus) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphcjo1j0er9c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.



Wie soll ich jetzt weiter vorgehen?



Beste Grüße und schon mal dickes Danke im voraus,
Thomas.

Hallo zusammen!

die Antworten sind bisher sehr übersichtlich

Habe ich etwas falsch gemacht oder gegen irgendwelche Regeln verstoßen??
Wenn ja, tut es mir leid, liegt dann aber an meiner Unwissenheit.

Also nochmals die Bitte:
Wie gehe ich weiter vor bei meinem Problem?
Kann ich die Dateien in der Quarantäne löschen?
Und danach?


Grüße,
Thomas.

Hi,

hier gehts derzeit hoch her. Da kann es zu Verzögerungen kommen.
Aktualisiere bitte Malwarebytes und lasse dein System nochmal scannen und bereinigen.
Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Es kann sein das RSIT ins Internet will um HijackThis herunterzuladen. Lasse dies bitte zu)

lg myrtille

Hallo myrtille,

hier gehts derzeit hoch her. Da kann es zu Verzögerungen kommen.

danke für die Rückmeldung, ich hatte nur die Befürchtung, das die Betreffzeile nicht aussagekräftig genug ist. Sollte auch nicht ungeduldig rüberkommen.

Aktualisiere bitte Malware*bytes und lasse dein System nochmal scannen und bereinigen.

Habe ich gemacht, diesmal keine Funde.

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier.

Zum Anhängen und zum Einfügen in den Text sind die wohl zu groß, ich weiß auch nicht, ob ich da was einkürzen kann? Wie bekomme ich die hier unter?


Danke schonmal und liebe Grüße,
Thomas.

Hi,

wenn die Texte zu lang sind, dann lade bitte beide Datein bei file-upload hoch und stelle den Link dann hier online.

(sag mir bitte, dass du in den letzten 5 Tagen kein SP3 oder sowas installiert hast!? )

lg myrtille

wenn die Texte zu lang sind, dann lade bitte beide Datein bei file-upload hoch und stelle den Link dann hier online.

h**p://www.file-upload.net/download-1135991/info.txt.html
h**p://www.file-upload.net/download-1135997/log.txt.html

(sag mir bitte, dass du in den letzten 5 Tagen kein SP3 oder sowas installiert hast!? )

In den letzten 5 Tagen nicht, aber es ist noch nicht so lange her, da hat mich SP3 (glaube ich jedenfalls) ewig lange genervt, bis ich mich dem hingegeben habe...


Leicht verwirrte Grüße,
Thomas.