Da sehe ich auch nur einen Eintrag. Entfernen wir den Registryeintrag mal einfach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce | Cleanup
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
• Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Hi again
Logfile:

Code: Alles auswählenAufklappen

ATTFilter

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:53:54, on 01.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\XXXXX\Desktop\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.XXX.net/s/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\RunOnce: [Cleanup] C:\cleanup.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {64FD35CE-4D5C-4ABF-9A46-BB9DF4616684} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {64FD35CE-4D5C-4ABF-9A46-BB9DF4616684} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5308 bytes
         

Hier der text von avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|Cleanup" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Beim Reboot trat keine Fehlermeldung mehr auf!!! Die Cleanup.exe scheint `raus zu sein.
Soweit dann alles okay?--- Gut dass es dieses Board und kompetente Helfer gibt...CU Mats

Siehste, ich wusste, dass wir den Vogel irgendwie kriegen
Logfile sieht ebenfalls sauber aus!
hast Du sonst noch Auffälligkeiten am System bemerkt?

Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Dein System ist fast optimal. Gut, dass schonmal das SP3 installiert ist, überprüfe ob die Folgeupdates auch schon installiert sind. Besuch am besten die Windows-Updateseite mit dem IE. Wo wir beim IE sind, der benötigt auch eine Aktualisierung auf Version 7 plus Folgeupdates.

Vergiss nicht, dass Du den IE nur fürs Windows-Update nutzen solltest, zum normalen Surfen wäre sowas wie opera oder firefox wärmstens zu empfehlen.

Hi snyper
Na prima *stolz*...
Ich habe mir nach intensivem Lesen der Seite "Neuaufsetzen" bereits den Firefox und auch Thunderbird installiert. Arbeite schon seit 14 Tagen mit diesen Programmen.
Besonders Firefox finde ich besser als den IE von Micros. IE 7 ließ sich auch nicht installieren, warum auch immer...sollte ich ihn trotzdem haben, oder reicht zum updaten auch der 6er?

Habe in den letzten Tagen durch die Kommunikation mit dem Board viel gelernt...(hoffe ich).
Ciao Mats

Hi root24
Tja, das war es wohl doch noch nicht ganz...
Beim nächsten Booten kam die Meldung über die fehlende "cleanupexe" wieder.
Ich weiß zwar nicht genau warum, aber irgendwie hatte ich das Gefühl, ich müsste "malwarebytes" nocheinmal scannen lassen. Interessantes Ergebnis:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1259
Windows 5.1.2600 Service Pack 3

01.11.2008 17:27:05
mbam-log-2008-11-01 (17-27-05).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 175389
Laufzeit: 50 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\cleanup.bat (Trojan.Agent) -> Quarantined and deleted successfully.

Wie oben gesehen, habe ich den Trojaner von Malwarebytes entfernen lassen.
Hast du eine Erklärung? Mats

Ist das Cleanup dieses Programm? hast Du es selber installiert?
Ich kann im Moment echt nicht nachvollziehen, warum das Teil immer wieder aufersteht.
Wenn nix mehr hilft, dann ist Deine Idee mit der erneuten Installation wohl garnicht mal so verkehrt.

Hi root24
Nee, das Programm kommt mir nicht bekannt vor. Was aber noch viel besser ist:
Seit gestern liegt wieder eine "Cleanup.exe" auf C:
Der PC bootet also ohne Fehlermeldung. Frage: Wo kommt die her?---Hm, habe am WE ein Spiel installiert und versucht, den IE auf "7" upzudaten, was aber nicht geklappt hat. Warum, weiß ich nicht..."IE 7 konnte nicht installiert werden". Was denkst du über den Fund der "cleanup.bat" als Tojaner?
Fragende Grüße....Mats

Aus dem Combofix-Logfile:

Code: Alles auswählenAufklappen

ATTFilter

2008-10-04 13:26 . 2008-10-04 13:27 <DIR> d-------- C:\Programme\The Cleaner Demo
         

Und Du bist wirklich sicher, dass das Programm nicht installiert wurde?

Hi Root 24
Tja, gute Frage...also wirklich sicher bin ich mir nicht...Der Eintrag ist ja auch eindeutig, aber ich wüsste nicht, wofür ich das Programm gebraucht hätte?!
Manchmal gehen meine beiden Söhne an meinen PC, aber eher selten, da sie einen eigenen haben.Nun gut, aber warum ist die "cleanup.exe nun wieder da? What about "cleanup.bat"?
Thanks....Mats

Tja, dann solltest Du Deinen Söhnen mal die Adminrechte entziehen...
Kannst Du das Programm denn über Systemsteuerung > Software deinstallieren?
Ich bin mir nun ziemlich sicher, dass die cleanup.exe nichts Schädliches ist.

Hi root 24
Tja, da geb ich dir mal völlig Recht, das war etwas leichtsinnig. Mit den Admin-rechten bin ich bisher etwas sorglos umgegangen, auch beim Surfen... Na ja, man lernt daraus...
Das Programm taucht in meiner Softwareliste nicht auf, kann es also nicht deinstallieren. Was tun?
Fragende und lernende Grüße von Mats

Lösch den Ordner zu The Cleaner in c:\Programme sowie die c:\cleanup.exe und cleanup.bat (sofern alles noch vorhanden).

Mach danach nochmal nen Durchlauf mit dem CCleaner, lass damit auch die Registry auf Fehler überprüfen und lösch diese (vorher das vom CCleaner vorgeschlagene Registry-Backup machen!!)

Ich hoffe dann taucht er nicht mehr auf.

Hi root 24
Leider "negativ". Habe alles so gemacht, wie gewünscht, aber den Eintrag in der Registrierung bekommen wir immer wieder. CCleaner findet immer den gleichen Eintrag in der Registry, behebt den Fehler, aber beim erneuten Analysieren ist der Fehler wieder da.
Ist es normal, wenn Windows eine Meldung bringt beim Löschen der "Cleanup.exe" (:"An diese Datei sind Daten angehängt, die verlorengehen etc.")

Tja, was tun, sprach Zeus?????

Jetzt wird es aber spannend:
Habe nochmals mit Avenger versucht, den Eintrag zu löschen. Beim reboot waren dann sowohl die cleanup.bat, die cleanup.exe und eine ?zip.exe? wieder direkt auf C:! Ich verstehe nix mehr.
Diese drei Dateien waren definitiv kurzfristig gelöscht, nun aber wieder da. besonders die zip.exe finde ich spannend....
Irgendetwas kann doch da nicht stimmen, oder...????
Mats, frustiert, aber gibt nicht auf...

Die zip.exe direkt auf C: sollte vom Avenger stammen - der braucht einen Zipper um die gelöschten Dateien in seine backup.zip zu verpacken.

Ich glaube so langsam, dass auch die cleanup.exe vom Avenger kommt, aber noch nie hat die solche Zicken gemacht.