Hallo Forum,

bei mir meldet sich in der Taskleiste nun auch der rote Kreis mit dem X und sagt:
Your computer is infected! Die zu sehende Sprechblase möchte die "most-up-tp-date antispyware" runterladen....

Ich habe mehrere Scans mit Adaware und Avira Antivir gemacht und auch Viren/Trojaner gefunden. Z.B. TR/obfuscated.gx.2552 und einen ...FAKEAV...,
sorry habe den kompletten Namen des Zweiten momentan nicht. Alle Maßnahmen wie löschen und Quarantäne helfen nichts.

Siehe Meldung:
Fehler in AntiVir Guard.
Fehlertext: Aktion ist fehlgeschlagen für die Datei: C:\Programme\guhaqdc\MsgSetSh.dll
Fehlercode: [0x00000005 - Zugriff verweigert].

Als Aktion von:
In der Datei 'C:\Programme\guhaqdc\MsgSetSh.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.GX.2552' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

oder hier wieder der Trojaner, der nicht beseitigt werden konnte:
Fehler in AntiVir Guard.
Fehlertext: Aktion ist fehlgeschlagen für die Datei: C:\WINDOWS\system32\pcxszspc.exe
Fehlercode: [0x00000005 - Zugriff verweigert].

Ich habe den Rechner im abgesicherter Modus gestartet und die Systemwiederherstellung deaktiviert.

Hijack liefert folgende Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:17:39, on 11.10.2008
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\--=Tools=--\Ad-Aware2008\aawservice.exe
C:\--=Tools=--\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
F:\--=Programme=--\totalcmd\TOTALCMD.EXE
c:\--=Tools=--\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TMIRQ] net start tmirq
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [DevconDefaultDB] C:\WINDOWS\READREG /PSCONV={NO} /NO_DEFPS
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\--=Tools=--\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\--=Tools=--\Spybot - Search & Destroy10_10_08\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: MsgSetSh - {618685D1-4E5A-F8ED-18F2-01B95CF4F502} - C:\Programme\guhaqdc\MsgSetSh.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\--=Tools=--\Ad-Aware2008\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\--=Tools=--\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - F:\--=Programme=--\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\--=Tools=--\Common Framework\FrameworkService.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe (file missing)
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINDOWS\system32\OOD2000.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vermutlich hat sich die Infektion wie folgt abgespielt:
ZoneAlarm eine Internetverbindung aufnehmen wollen, dann hat meine Freundin auf Zulassen gedrückt und FireFox ging auf. Sie konnte keine Eingabe der Adressleiste machen, da die Tasten nicht funktioniert haben. Kurz darauf hat sich der Rechner automatisch Neugebootet und seit dem haben wir die Viren onboard.

Bitte, kann uns jemand helfen eine Neuformatierung wäre mehr als ärgerlich.

Gruß
Spherehiker

Sorry, ich habe gerade gesehen dass kiwi111, auch mit dem Tronjaner zu kämpfen hat. Hatte vorher bei der Suche im Forum keinenen Treffer für den Trojander gemdeldet bekommen! Soll ich die Tipps für ihn ebenfalls abarbeiten?

Danke
Spherehiker

Kann hier irgend jemand helfen?

Es ist zum Verzweifeln. Wenn ich die Datei "MsgSetSh.dll" lösche oder umbennene, öffnet sich nicht mehr das Antivir.
Aber ohne Schutz ins I-Net?!?

Was kann ich mit der Log-Datei vom Hijack anfangen?
oder einfach ?

Gruß und schon einmal ein

hier auch die log vom mbr.exe:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
kernel: MBR read successfully
BIOS signateure not found


Backlight:
10/11/08 21:48:33 [Info]: BlackLight Engine 2.2.1092 initialized
10/11/08 21:48:33 [Info]: OS: 5.1 build 2600 (Service Pack 3, v.3264)
10/11/08 21:48:34 [Note]: 7019 4
10/11/08 21:48:34 [Note]: 7005 0
10/11/08 21:48:39 [Note]: 7006 0
10/11/08 21:48:39 [Note]: 7011 1412
10/11/08 21:48:39 [Note]: 7035 0
10/11/08 21:48:39 [Note]: 7026 0
10/11/08 21:48:40 [Note]: 7026 0
10/11/08 21:48:43 [Note]: FSRAW library version 1.7.1024
10/11/08 21:57:14 [Note]: 2000 1012
10/11/08 21:57:14 [Note]: 2000 1012
10/11/08 21:57:14 [Note]: 2000 1012
10/11/08 21:57:22 [Note]: 2000 1012


maleware log:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1258
Windows 5.1.2600 Service Pack 3, v.3264

11.10.2008 22:06:19
mbam-log-2008-10-11 (22-06-10).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 50483
Laufzeit: 5 minute(s), 40 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 65

Infizierte Speicherprozesse:
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{618685D1-4E5A-F8ED-18F2-01B95CF4F502} (Trojan.FakeAlert.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c} (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\XP_Antispyware (Rogue.XPAntiSpyware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\msgsetsh (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> No action taken.
C:\Programme\akl (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> No action taken.
C:\Programme\XP_AntiSpyware (Rogue.XPAntiSpyware) -> No action taken.

Infizierte Dateien:
C:\Programme\guhaqdc\MsgSetSh.dll (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\pcxszspc.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> No action taken.
C:\Programme\akl\akl.dll (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\akl.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\uninstall.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\unsetup.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\XP_AntiSpyware\Uninstall.exe (Rogue.XPAntiSpyware) -> No action taken.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> No action taken.
C:\WINDOWS\system32\wini104552502.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Brina\delself.bat (Malware.Trace) -> No action taken.

Nach der Säuberung durch Anti Maleware scheinen nun alle Bösewichter gebannt zu sein! :]
Zur Sicherheit läuft noch mals ein kompletter Scan mit Anti Mailware.
Morgen prüft dann noch Adaware und evtl. noch Antivir....aber es scheint wieder alles gut zu sein - manoman, das war ja was.

Auch wenn hier zu meinem Thread großes Schweigen im Forum war, möchte ich mich speziell bei root24 bedanken, der Kiwi111 so viele Tipps gegeben hat und mich so auf Anti Maleware gebracht hat.

Also bis auf Weiteres

Ciao