Ich habe hier drei PCs (aus unterschiedlichen Netzwerken) die allesamt dieser Fakemail zum Opfer gefallen sind: http://www.trojaner-board.de/62787-scam_mail-deutsch-hoher-qualitaet-malware-nicht-detektierbar.html

Das Problem bei allen Rechnern ist, dass nach der Windowsanmeldung eine Fehlermeldung von Windows kommt die lautet "Dieses Programm wurde aus Sicherheitsgründen geschlossen" - "Name: Microsoft Cabinet Maker".
Diese Meldung kann man wegklicken bis "Das Problem verursachte svchost.exe" kommt. Offenbar handelt es sich aber nicht um die svchost.exe von MS sondern um eine Datei die sich in C:\Programme\Microsoft Commons\ befindet. Laut TotalVirus.com ein Virus.

Wenn man die Fehlermeldung wegklickt kann man über den Taskmanager alle Programme starten, aber der Desktop erscheint nicht. Wenn ich über den Taskmanager die explorer.exe öffne kommt der oben genannte Fehler wieder.

Bisher hat nicht geholfen:
* Systemwiederherstellung (vermutlich ist der Systemwiederherstellungspunkt nicht alt genug)
* Malwarebytes (laut diversen Forenbeiträgen soll der den Virus schon bekämpft haben, hier hat er das Problem aber nicht beseitigt)
* Löschen von C:\Programme\Microsoft Commons\svchost.exe (es kommt zwar dann keine Meldung nach dem Start von Windows, aber beim versuch die explorer.exe zu starten kommt der Fehler wieder und die svchost.exe ist in wieder in dem gerade genannten Ordner wieder zu finden - auch ohne Internetanschluss)
* Mit runalyzer habe ich geschaut welche Programme gestartet werden, alles verdächte habe ich deaktiviert. Die svchost.exe war nicht dabei. Auch die shell scheint korrekt zusein, mit der explorer.exe.


Jemand weitere Ideen?

Danke!




Edit: HiJackThis-Log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:09:56, on 27.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\SAgent4.exe
C:\windows\system32\svchost.exe
C:\windows\system32\wuauclt.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\PROGRA~1\ICQToolbar\toolbaru.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series (Kopie 2)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P36 "EPSON Stylus DX3800 Series (Kopie 2)" /O5 "LPT1:" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Nemobar] C:\PROGRA~1\NemoBar\Nemobar.exe
O4 - HKLM\..\Run: [tsnp2std] C:\windows\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\windows\vsnp2std.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series (Kopie 1)] C:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P36 "EPSON Stylus DX3800 Series (Kopie 1)" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [zzz_ImInstaller_Magentic] C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\ImInstaller\Magentic\magentic_install.exe -startup -product Magentic
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [*Restore] C:\windows\system32\restore\rstrui.exe -i
O4 - HKCU\..\Run: [EPSON Stylus DX3800 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P36 "EPSON Stylus DX3800 Series (Kopie 1)" /M "Stylus DX3800" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Programme\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\SAgent4.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe

--
End of file - 6164 bytes

Hallo,
hatte seit Samstag das gleiche Problem, über denTask-Manager kannst du ja noch Programme starten. Ich hab zuerst noch mal bei meinen Virenscanner (Avira) ein Update gemacht, dann einen Komplettscan. Der hat mir dann den Virus gemeldet, über die Meldung wurde mir dann ein Removal-Tool zur Verfügung gestellt. Das hat dann erst mal den Virus entfernt, die Explorer.exe fehlte dann immer noch, hab dann Malwarebytes' Anti-Malware heruntergeladen, und auch hier einen Komplett-Scan gemacht (Dauer über 1 Stunde). Danach lief alles wieder.

Hab noch mal dem Avira-Tool gesucht:
AVIRA Presse - Avira warnt vor Trojaner in gefälschten Rechnungen von Stayfriends

und hier die Malwarebytes:
Malwarebytes' Anti-Malware 1.30 in Adware & Spyware entfernen - Spyware - Windows | Downloads | ZDNet.de

Ich hoffe, ich konnte dir helfen

Zitat:

Zitat von Indiehorst

Hab noch mal dem Avira-Tool gesucht:
AVIRA Presse - Avira warnt vor Trojaner in gefälschten Rechnungen von Stayfriends

Hi! Danke für deine Antworten.
Aber ein Removal Tool finde ich unter dem Link nicht, und auch sonst im Internet nicht.

Also mit AntiVir + Malwarebytes klappt das Entfernen mittlerweile Problemlos.

Hallo, Ihr da draußen. Das geschilderte Problem hat mir seit letzten Frtg. das Leben vergällt. Aber dank Silent sharK's Lösungsvorschlag ist mein PC wieder online. Schaut doch im selben Forum nach unter "Trojaner TR/Dldr.ibill.bf", da hat Silent shark dank eines Zusatzprogrammes meine Platten geputzt. AntiVir hatte die Viren (bei mir drei verschiedene mit stay friends = TR/Dldr.EbayBill.V; TR/Buzus.hrp; TR/Dldr.iBill.BF.) lediglich identifiziert, aber nicht beseitigt.
Viel Glück!! arkade

http://www.trojaner-board.de/62787-scam_mail-deutsch-hoher-qualitaet-malware-nicht-detektierbar.html

Vorneweg, ich denke ich habe ihn fixen koennen. Mein erstes vorgehen nach dem doppelclick auf die Datei war das Netz zu trennen.

Outpost Firewall installiert und nur den Dateien zugriff gewährt die ich kannte. Mittels des "process viewers" konnte ich nachsehen welche dlls die ganzen svchosts in meinem Taskmanager so geladen haben. Unbekannte Dlls sind dementsprechend auch online berprüft worden.

Dann die im Thread genannten Programme genutzt plus eigene AVs.

Die SCR-Datei hatte sich bis hierhin 5mal vervielfältigt allerdings bin ich guter Dinge, dass kein zusäzlicher rootkit runtergeladen wurde.....

Ich empfehle Dir aus diesem Grunde ganz dringend die ausgeführten dlls zu überprüfen und weiterhin zu checken ob du etwas im stealht mitgeladen hast

Habe auch Avira und Malwarebytes verwendet mit Ergebnis, dass Malwarebytes einen Registry Eintrag und zwei Dateien gelöscht hat. Nach Neustart ist das scheinbar als Rootkit ausgelegte Mistding wieder da!
Eine Wiederherstellung über XP CD brachte das gleiche negative Ergebnis.

Gibt es nicht ein sicheres Verfahren um dieses Ding zu entfernen?????

Bin sehr dankbar für jede Hilfe!!!!

Lorei