Hallo,

ich habe gestern über icq eine *.scr und *.jpg von einer Person aus meiner Kontaktliste bekommen und sie angenommen, da ich diese Person gut kannte und mir nichts Verdächtiges ins Auge fiel. Die Dateien hatten die Bezeichnung DSC092008.scr und DSC092008.jpg. Firewall und AntiVir haben keine Meldungen angezeigt. Es hat sich jedoch herausgestellt, dass die Dateien nicht von der Person stammen und an viele andere in der Kontaktliste gesendet worden.

Was mich verunsichert ist, dass ein Virus oder Trojaner verschickt wurde, aber AntiVir keine Meldung anzeigt.

Ich habe von Viren und Ähnlichem absolut keine Ahnung und bin total überfordert, weil ich keine weiteren Auffälligkeiten bemerkt habe, aber sicher bin, dass ich gestern etwas virenartiges angenommen habe.

Außerdem habe ich mich etwas belesen und schon mal mit HijackThis einen logfile erstellt.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:49:44, on 11.10.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe
C:\Windows\OEM02Mon.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpWareSE4.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKLM\..\Run: [OEM02Mon.exe] C:\Windows\OEM02Mon.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [{AF8521DF-2211-D6B2-B0C4-4C7A72CB37DA}] C:\Users\******\AppData\Roaming\avgmt.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 8207 bytes


Eine exe ist mir aufgefallen, mit der ich nichts anfangen konnte (avgmt.exe).
Könnt ihr mir sagen, was das ist?
Kann mir jmd bei meinem Problem helfen, da ich wirklich nicht viel Ahnung habe?
Ich bin dankbar für jeden Tipp und hoffe, dass meine Sorge Anklang findet.

Vielen, vielen Dank schon mal.

Grüße
Nestea80

Hallo,

da mir noch niemand auf meinen Eintrag geantwortet hat, erlaube ich mir nochmals die Anfrage, ob mir denn nicht irgendwer helfen kann?!
Falls ich einen Fehler gemacht habe, was das Posten betrifft, teilt es mir bitte mit.

Bitte, bitte helft mir!!!

nestea80

Hi nestea80 ich werde dir helfen dein vllt problem in den griff zu bekommen
Lade folgende Datei/Dateien bei Virustotal hoch und poste den Vollständigen bericht mit MD5 Hash usw.

Lasse Dabei auch versteckte Ordner und Dateien anzeigen!

Zitat:

C:\Users\******\AppData\Roaming\avgmt.exe

Sry hatte die avgmt.exe mit nem antivir dienst verwechselt was wohl von dem namensgeber beabsichtigt war! Deswegen sofort hochladen!1

Scanne mit Malwarebytes Antimalware, Lösche alles was gefunden wird und poste den Vollständigen bericht, auch wenn nichts gefunden wird!
Zusätzlich scannst du noch mit SUPERAntiSpyware und postest auch dessen bericht!

Nun Scannen wir noch nach Rootkits!

Deaktiviere Während des Rootkitscanns alle Virenscanner, Firewalls und programme!
Poste die logs auch wenn deiner Ansichtnach nichts gefunden wurde!
Poste Alle Berichte bzw. Logs in einem Code (das # Symbol klicken nicht auf der tastatur!)
1.MBR Scannen lassen
Lade dir bitte mbr detector herunter und führe ihn aus.
Poste das Ergebnis dann hier, die log datei liegt im gleichen ordner in dem du die mbr.exe gepeichert hast!

2.Gmer scannen lassen
Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

3.Blacklight scannen lassen
Lade dir Blackligt herunter und führe ihn aus.
Poste das Ergebnis dann hier.

4. Erstelle noch ein HijackThis logfile und poste es in einem Code!

Ich bin dir wirklich dankbar, dass du mir helfen möchtest, nur leider gibt es schon beim ersten Schritt ein Problem hehe... als ich diese avgmt.exe gefunden habe, habe ich sie gleich gelöscht... upsiii...

Wie kann ich nun weiter verfahren?

Ähm... den Vollständigen bericht mit MD5 hash.... mit nicht nur! Schick mir einfach mal den link zu dem ergebniss das macht das ganze für uns beide einfacher

Gelöscht ? Mit Antivir oder so? Dann ist sie wahrscheinlich noch da Schau ma nach und lasse alle dateien anzeigen wie oben beschrieben!

so hier is der link, aber wie gesagt für die searchfilterhost.exe weil avgmt.exe wurde bereits gelöscht.
Tut mir leid, falls das die Suche erschwert.

http://www.virustotal.com/de/analisi...240691faf36d84

Du sagtest sie sei dir aufgefallen... nicht das ein Scanner oder so was gefunden hat kannst du mal genau erklären was du mit der datei angestellt hast?

naja sie ist mir aufgefallen und dann hab ich sie mal gelöscht. Aber mein Virenscanner hatte nichts gefunden, als die Datei noch auf meinem PC war. Ich hab mich wie gesagt selbst auf die Suche nach dem Wurm oder was auch immer gemacht.

Ist die datei Vllt noch im Papierkorb? Wenn nicht mache einfach weiter nach der anleitung nur eben ohne hochladen der einen Datei!

Zitat:

Zitat von Tayk

Ist die datei Vllt noch im Papierkorb? Wenn nicht mache einfach weiter nach der anleitung nur eben ohne hochladen der einen Datei!

Sorry, dass meine Antwort so lange gedauert hat aber ich war nicht daheim.

Hier sind die Berichte von Malwarebytes Anitmalware und superantispyware

Malwarebytes:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1270
Windows 6.0.6001 Service Pack 1

15.10.2008 00:26:44
mbam-log-2008-10-15 (00-26-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 150599
Laufzeit: 1 hour(s), 44 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



SuperAntiSpyware:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 10/16/2008 at 07:44 PM

Application Version : 4.21.1004

Core Rules Database Version : 3599
Trace Rules Database Version: 1585

Scan type : Complete Scan
Total Scan Time : 00:59:43

Memory items scanned : 648
Memory threats detected : 0
Registry items scanned : 5777
Registry threats detected : 0
File items scanned : 120960
File threats detected : 22

Adware.Tracking Cookie
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@apmebf[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@fastclick[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@windowsmedia[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.zanox[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@doubleclick[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ads.pointroll[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@2o7[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@weborama[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@zbox.zanox[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.71i[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@serving-sys[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.yieldmanager[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@a6.adserver01[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@adserver.71i[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atdmt[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@perf.overture[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@de2.komtrack[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atwola[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@tradedoubler[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@bs.serving-sys[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ads.heias[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@adfarm1.adition[2].txt


Hilft das erstmal???

Vielen Dank nochmal für deine Bemühungen

Malwarebytes hat nichts gefunden und SUPERAntiSpyware auch nichts weltbewegendes! Du scheinst clean zu sein! Aber das kann ich erst nach dem rootkit scann 100%tig sagen!

hallo,
sorry dass ich mich so lang nich gemeldet habe. ich hab momentan einfach keine zeit. ich hab mich dazu entschieden am wochenende meinen rechner zu formatieren und danke dir nochmal ganz sehr, dass du mir geholfen hast.
vielen vielen lieben dank

liebe grüße nestea80