Hallo,

ich habe XP neu installiert, nachdem ich vorher einige Schädlinge hatte. Die alten Logs sind jetzt also auch nicht mehr da.

Nach dem Neuaufsetzen habe ich Malwarebytes durchgeführt. Der fand folgenden Schädling:

#
Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1104
Windows 5.1.2600 Service Pack 3

02.09.2008 23:54:12
mbam-log-2008-09-02 (23-54-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 51367
Laufzeit: 13 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
#

Nach dem Fixen ist kein Problem mehr gemeldet worden.

Der aktuelle Hijackthis-Check ergibt Folgendes:

#
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:48:58, on 27.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wpabaln.exe
D:\Downloads\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4267 bytes
#

Bitte um Hilfe, ob es noch ein Problem gibt.

Hi,

Zitat:

Infizierte Dateien:
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.

DAS dürfte wohl der Kollege hier sein: http://www.symantec.com/business/sec...104-99&tabid=1

Die Kiste ist frisch aufgesetzt, also machs nochmal! Pass aber auf das mindestens SP2 VOR der ersten Internetverbindung auf die Kiste kommt!

Außerdem schau dir die Anleitung hier an http://www.trojaner-board.de/51262-a...sicherung.html

Pass außerdem auf dass dein Update clean ist. Wichitig ist vorallem das keine ausführbaren Dateien gesichert werden!

lg, Sky

Hi Sky,

erstmal danke für deine Antwort.

Ich weiss ja, dass hier im Forum generell zur Neuinstallation geraten wird. Erscheint mir auch prinzipiell als das Beste.

Ich würde aber gerne herausfinden, woher der Schädling gekommen ist ( oder ob Malware sich vielleicht geirrt hat?). Sonst laufe ich ja Gefahr, dass mir nach der erneuten Installation das gleiche passiert. Kann man das irgendwie weiter analysieren als mit HijackThis? Kann man aus dem Log was ablesen?

Installiert habe ich von meiner OEM-CD mit SP2. Dann habe ich von einem Stick SP3, Antivir, Spybot, etc. aufgespielt, die ich mir auf der Arbeit runtergeladen hatte. Der Stick war vorher an dem befallenen Rechner gewesen. Ausser MP3, die ich nur äusserst ungerne löschen würde, hatte mir ein Freund Symantec Protection draufkopiert, das waren die einzigen .exe Dateien. Die habe ich eben gelöscht, für alle Fälle. Den Stick hatte ich mehrfach, auch vom Bürorechner, gecheckt, mit Antivir, Malware, Trend Micro online. Ohne Probleme. SuperAntiSpyware glaube ich auch.

Wie gesagt, würde ich wohl einen ähnlichen Ablauf wieder durchziehen. Oder meinst du, es wäre sicher, wenn ich nach der Neuinstallation online gehe und mir alles direkt runterziehe?