Hi,
ich habe ein Virus, die Mopona.dll, Virustotal gibt das raus. Das sieht für mich sehr schädlich aus, nun funktioniert natürlich einfaches löschen nicht, und mein Avira treibt mich in den Wahnsinn, denn alle 2sec ploppt ein Fenster auf, mit der Frage was mit Mopona.dll passieren soll.
Das Problem existiert erst seit heute, das einzige was ich gestern installiert habe war das, und das habe ich vor der Installation mit Avira und Spybot gescannt.
Ich hoffe ihr könnt mir helfen.

PS: ich benutze Windows XP SP3

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Ok, also hier der HijackThis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:33:19, on 21.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Samsung\EmoDio\SMSTray.exe
C:\Programme\TP-LINK\TWCU\TWCU.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\Ich\Desktop\qlketzd.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ****://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ****://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ****://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ****://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 85.214.35.100 l2authd.lineage2.com
O1 - Hosts: 85.214.35.100 l2testauthd.lineage2.com
O1 - Hosts: 85.214.35.100 nprotect.lineage2.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SMSTray] C:\Programme\Samsung\EmoDio\SMSTray.exe
O4 - HKLM\..\Run: [TWCU] C:\Programme\TP-LINK\TWCU\TWCU.exe -nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 6956 bytes
         

hier der MBR Log:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

Blacklite Log:

Code: Alles auswählenAufklappen

ATTFilter

10/21/08 19:38:11 [Info]: BlackLight Engine 2.2.1092 initialized
10/21/08 19:38:11 [Info]: OS: 5.1 build 2600 (Service Pack 3)
10/21/08 19:38:11 [Note]: 7019 4
10/21/08 19:38:11 [Note]: 7005 0
10/21/08 19:38:15 [Note]: 7006 0
10/21/08 19:38:15 [Note]: 7011 3192
10/21/08 19:38:15 [Note]: 7035 0
10/21/08 19:38:16 [Note]: 7026 0
10/21/08 19:38:16 [Note]: 7026 0
10/21/08 19:38:17 [Note]: FSRAW library version 1.7.1024
10/21/08 19:40:20 [Note]: 7007 0
         

Malewarebytes Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1303
Windows 5.1.2600 Service Pack 3

21.10.2008 20:44:40
mbam-log-2008-10-21 (20-44-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|)
Durchsuchte Objekte: 142314
Laufzeit: 43 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\dichver (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{10026069-7a5f-4531-811e-c8df20643bee} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fdf87042-0d74-42e4-afc5-0cda77bc74ba} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{435adc46-dcab-4593-92c8-25d2befceab7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\i348oa.bho (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\mopona.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\c.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\m.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\s.ico (Malware.Trace) -> Quarantined and deleted successfully.
         

Silentrunner Log:
Combofix Log:
Listing:
Alle Hier

Ach ja, das Kombofix hat mir die Wiederherstellungskonsole, die ich eigentlich immer von der Windows XP CD nutze installiert, und ich habe plötzlich wieder ein Internetexplorerbutton auf dem Desktop, und kann es nicht ausschalten.

Außerdem haben sich nach dem neustart durch Combofix alle meine Autostartapplikationen gestartet.

gruß Ryu1991

Zitat:

Ach ja, das Kombofix hat mir die Wiederherstellungskonsole, die ich eigentlich immer von der Windows XP CD nutze installiert

Eigentlich sollte CF das nicht von alleine tun
Und wenn, inwiefern soll das ein Problem darstellen?

Zitat:

und ich habe plötzlich wieder ein Internetexplorerbutton auf dem Desktop, und kann es nicht ausschalten.

Warum stört Dich das IE-Symbol? Da gibts nix auszuschalten, sondern zu löschen

Zitat:

Außerdem haben sich nach dem neustart durch Combofix alle meine Autostartapplikationen gestartet.

Das bitte näher erläutern.
An sich starten Autostart-Applikationen automatisch, deswegen ja auch AUTOSTART

Was ist mit dem ursprünglichen Problem?

Also was das Ursprüngliche Problem angeht, das scheint verschwunden zu sein, aber ob der Trojaner weg ist, nur weil die Mopona.dll weg ist würde ich nicht unterschreiben.

Mich stört es nicht, dass CF die Konsole Installiert hat, ich weiß nur nicht, ob das richtig ist, da ich das noch nie benutzt habe und dachte mir ich merke mal alles an, wie auch die Sache mit dem IE, früher konnte man unter eigeschaften des Desktops, über den Button Desktop anpassen, die Symbole für Arbeitsplatz Eigene Dateien und IE ein- und ausblenden. Löschen werde ich das Icon nicht, da es sich nicht um eine Verknüpfung handelt.

Und das meine Autostartsachen sich gestartet haben habe ich gesagt, weil du den Hinweis zu Combofix gemacht hast, dass CF den Autostart blockiert, und gleich ne Konsole aufgeploppt ist, nach dem neustart in der Stand ich solle keine Programme starten bis CF fertig ist, aber dann kam eben der Autostartkram.

Ist das eigentlich eine generelle Anleitung, die ich für jedes Virus nutzen kann?

Zitat:

aber ob der Trojaner weg ist, nur weil die Mopona.dll weg ist würde ich nicht unterschreiben.

Das ist gut dass Du so denkst
Ich hab jedenfalls keine weiteren Aufälligkeiten mehr in den Logs gesehen.

Zitat:

Mich stört es nicht, dass CF die Konsole Installiert hat, ich weiß nur nicht, ob das richtig ist, da ich das noch nie benutzt habe

CF hat die tatsächlich ohne Dein Zutun installiert?
Ist mir noch nie passiert. Oder bist Du nach dem Leitfaden gegangen und hast das so umgesetzt? Einfach nur CF auszuführen sollte keine Wiederherstellungskonsole installieren.
Wie auch immer, die WHK stört nicht. Sie ist für den Notfall gedacht, falls Windows weder im normalen noch abgesicherten Modus startet, so hätte man noch die Wiederherstellungskonsole. Wie der Begriff es sagt, ist es auch nur eine Konsole, also nix mit Klickibunti

Zitat:

Und das meine Autostartsachen sich gestartet haben habe ich gesagt, weil du den Hinweis zu Combofix gemacht hast, dass CF den Autostart blockiert

Lies nochmal den hinweis:

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Damit wird die Autostartfunktion austauschbarer Datenträger gemeint, und eben keine Autostarteinträge, die Programme automatisch beim Windowsstart ausführen.

Zitat:

Ist das eigentlich eine generelle Anleitung, die ich für jedes Virus nutzen kann?

Kann man fast sagen, ja. Einige Tools analysieren das System und entfernen Malware, bei manchen allerdings bekommt man nur ein Logfile und der User muss das durchgucken und entscheiden was raus muss oder nicht.

Ich war es Leid, immer alles erneut abzutippen, deswegen hatte ich mir einmal Mühe für Anleitungsbausteine gemacht. Mit der Zeit hab ich festgestellt, dass ich aus diesen Bausteinen mehrere Anleitungen erstellen konnte. So erspart man sich zusätzlich zum Abgetippe auch das Zusammenkopieren der einzelnen Punkten (=Bausteinen).

ok, dann danke für die Hilfe