Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008

Dundrum

Hallo Zusammen,

wir haben uns am Samstag nachmittag versehentlich den lästigen Trojaner installiert, welcher den Windows-Desktop in ein großes Werbebanner für Anti-Spyware verwandelt. Das Programm hat außerdem die Reiter »Desktop« und »Einstellungen« aus dem Fenster »Eigenschaften der Anzeige« entfernt. Mit großer Wahrscheinlichkeit wurde die Installationsdatei vorher von ClamWin erfolglos gescannt.

Im Betreff haben wir das Teil »xp antvir 2008« genannt - unsere Recherche hat ergeben, dass es bereits sehr viele Namen, vielleicht auch Varianten für/von diesem Trojaner gibt.

Nachdem wir bemerkt haben, was da in unserem Rechner geschehen ist, haben wir ihn vom Netzwerk getrennt und mit einem zweiten Rechner nach Möglichkeiten recherchiert, das Problem zu beheben. Als erstes haben wir ClamWin laufen lassen. Dieses Programm hat nichts gefunden. In eurem Forum sind wir dann auf SDFix und Combofix gestoßen. SDFix im abgesicherten Modus hat nichts gebracht. Irgendwie ging es nach dem Ausführen der Datei einfach nicht weiter. Combofix hat dann einige Dateien gefunden und diese gelöscht. Hiernach war auch der Desktop wieder hergestellt und die Reiter im Fenster »Eigenschaften der Anzeige« wieder da.

Um sicher zu gehen, dass der Rechner jetzt auch wirklich Clean ist, haben wir noch ff. Programme im abgesicherten Modus laufen lassen. AntiVir, Adaware, Malwarebytes… jetzt gerade läuft Superantispyware...

Wir waren und sind also wirklich bemüht unser System zu retten. Da wir aber keine Sicherheitsexperten sind, wollten wir euch hier im Forum bitten, mal über unser HijackThis Logfile zu schauen und euch um eure Meinung bitten, ob ihr denkt, dass das System wieder in Ordnung sein könnte. Natürlich sind auch Vorschläge was noch zu tun wäre sehr willkommen.

Hier das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:59, on 2008-10-07
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\Tools\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
D:\SecurityApps\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\OFFICE~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\AdobeApps\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\AdobeApps\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "D:\SecurityApps\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [GrooveMonitor] "D:\OfficeApps\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [kmw_run.exe] kmw_run.exe
O4 - HKLM\..\Run: [avgnt] "D:\SecurityApps\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\OFFICE~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - Extra 'Tools' menuitem: IBM Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\OFFICE~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\OFFICE~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{30B8F4A6-EF3A-4010-870A-4AD996A4220E}: NameServer = 194.25.0.69,194.25.0.70,194.25.2.129,217.5.100.185,212.201.24.17
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\OFFICE~1\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Tools\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\SecurityApps\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\SecurityApps\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - D:\SecurityApps\Comodo\Firewall\cmdagent.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 6837 bytes

Mittlerweile ist auch SUPERAntiSpyware durchgelaufen - hier das Scanlog:

SUPERAntiSpyware Scan Log
h++p://www.superantispyware.com

Generated 10/07/2008 at 06:41 PM

Application Version : 4.21.1004

Core Rules Database Version : 3555
Trace Rules Database Version: 1543

Scan type : Complete Scan
Total Scan Time : 01:12:24

Memory items scanned : 190
Memory threats detected : 0
Registry items scanned : 6366
Registry threats detected : 0
File items scanned : 23304
File threats detected : 2

NotHarmful.Sysinternals Bluescreen Screen Saver
C:\SYSTEM VOLUME INFORMATION\_RESTORE{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP31\A0011258.SCR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP31\A0011799.SCR


Bei dem Programm AntiVir hatten wir beim Versuch auf Rootkits zu scannen die Fehlermeldung, dass die dafür nötigen Treiber nicht initialisiert werden konnten. Welche Schlüsse könnt ihr hieraus ziehen?

Zur Vollständigkeit möchten wir auch noch das Logfile von AntiVir hinzufügen:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: 2008-10-07 14:56

Es wird nach 1666869 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: Administrator
Computername: TP14

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 2008-08-12 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 2008-06-26 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 2008-05-09 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 2008-06-12 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 2008-05-09 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 2008-06-24 13:54:15
ANTIVIR2.VDF : 7.0.6.217 3773440 Bytes 2008-09-26 12:49:43
ANTIVIR3.VDF : 7.0.7.5 306688 Bytes 2008-10-07 12:49:49
Engineversion : 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 2008-07-09 08:38:31
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 2008-10-07 12:50:22
AESCN.DLL : 8.1.0.23 119156 Bytes 2008-10-07 12:50:20
AERDL.DLL : 8.1.1.2 438644 Bytes 2008-10-07 12:50:19
AEPACK.DLL : 8.1.2.3 364918 Bytes 2008-10-07 12:50:15
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 2008-10-07 12:50:11
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 2008-10-07 12:50:09
AEHELP.DLL : 8.1.0.15 115063 Bytes 2008-07-09 08:38:31
AEGEN.DLL : 8.1.0.36 315764 Bytes 2008-10-07 12:49:57
AEEMU.DLL : 8.1.0.7 430452 Bytes 2008-10-07 12:49:53
AECORE.DLL : 8.1.1.11 172406 Bytes 2008-10-07 12:49:51
AEBB.DLL : 8.1.0.1 53617 Bytes 2008-04-24 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-09 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-05-16 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 2008-10-07 12:49:50
AVREG.DLL : 8.0.0.1 33537 Bytes 2008-05-09 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-06-12 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-06-12 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 2008-06-12 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 2008-06-27 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: d:\securityapps\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: 2008-10-07 14:56

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '13' Prozesse mit '13' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '62' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows XP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Notebook\Desktop\Audiofiles\Cubase_Studio_4_Portable\Cubase Studio 4_Portable.rar
[0] Archivtyp: RAR
--> Cubase Studio 4_Portable\SYNSOACC.dll
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494d5dfc.qua' verschoben!
C:\Dokumente und Einstellungen\Notebook\Desktop\Audiofiles\Cubase_Studio_4_Portable\Cubase Studio 4_Portable\Cubase Studio 4_Portable\SYNSOACC.dll
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49395e18.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\lphc15aj0el2v.exe.vir
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.aekg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49536501.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP31\A0011072.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.aekg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b67b9.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP31\A0011296.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.aekg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b67e2.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP31\A0011800.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.aekg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b6806.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP34\A0013471.dll
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b6849.qua' verschoben!
Beginne mit der Suche in 'D:\' <yyyyy>
Beginne mit der Suche in 'E:\' <xxxxx>


Ende des Suchlaufs: 2008-10-07 16:35
Benötigte Zeit: 1:39:11 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9592 Verzeichnisse wurden überprüft
384831 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
3 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
384823 Dateien ohne Befall
8730 Archive wurden durchsucht
1 Warnungen
7 Hinweise

AntiVir hat einige Dateien in Quarantäne verbannt - können wir diese bedenkenlos löschen?

Zu guter letzt möchten wir noch eure Meinung hören, ob unser Hausnetzwerk Schaden genommen haben könnte. Wir haben drei Rechner an einem Intranet sowie einen weiteren der über einen Router mit den anderen verbunden, jedoch nicht im Intranet angemeldet ist.

Wir bedanken uns bei allen, die unseren Thread bis hierher überflogen oder gar gelesen haben und freuen uns auf jede Antwort.

Vielen Dank! Und alles Gute!
Dundrum