Hi,

eben wurde meine Windows Firewall deaktiviert und Avast meldet mir nach nem unfreiwilligen Neustart dauernd Angriffe ("DCOM EXPLOIT") auf den Rechner. Bin mit Spybot auf zwei Einträge gestoßen:

Delf.Spool.cn

Smitfraud-C.gp



HijackThis Report:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:58:28, on 27.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\ISW\alice\signup\AliceCnn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*h**p://de.yahoo.com
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA8769] command /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9448] cmd /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7948] command /c del "C:\WINDOWS\system32\delself.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5477] cmd /c del "C:\WINDOWS\system32\delself.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7343] command /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5595] cmd /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9100] command /c del "C:\WINDOWS\system32\delself.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7149] cmd /c del "C:\WINDOWS\system32\delself.bat"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\RunOnce: [SpybotDeletingB7285] command /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5463] cmd /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4894] command /c del "C:\WINDOWS\system32\delself.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2492] cmd /c del "C:\WINDOWS\system32\delself.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8658] command /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8956] cmd /c del "C:\WINDOWS\system32\drivers\svchost.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4527] command /c del "C:\WINDOWS\system32\delself.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6638] cmd /c del "C:\WINDOWS\system32\delself.bat"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54DD5199-DD8A-41FD-A1A6-43B30672F868}: NameServer = 213.191.74.19 62.109.123.197
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7437 bytes



Bin um Hilfe sehr dankbar!

Gruß,
Martin

Außerdem hat Avast folgendes gefunden:

27.10.2008 21:34:37 ****** 692 Sign of "Win32:Lighty-B [Cryp]" has been found in "c:\windows\system32\brastk.exe" file.
27.10.2008 21:36:09 ****** 692 Sign of "Win32:Agent-QNI [Trj]" has been found in "c:\windows\system32\drivers\beep.sys" file.
27.10.2008 21:36:24 ****** 692 Sign of "Win32:Trojan-gen {Other}" has been found in "c:\windows\system32\karna.dat" file.
27.10.2008 22:02:09 SYSTEM 1016 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
27.10.2008 23:23:30 ****** 3628 Function setifaceUpdatePackages() has failed. Return code is 0x000004C7, dwRes is 000004C7.
27.10.2008 23:53:21 ****** 3628 Sign of "Win32:Lighty-B [Cryp]" has been found in "C:\WINDOWS\brastk.exe" file.
27.10.2008 23:56:13 ****** 3628 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\karna.dat" file.
27.10.2008 23:59:32 ****** 3628 Sign of "Win32:Lighty-B [Cryp]" has been found in "C:\WINDOWS\system32\av.dat" file.


Hab die Würmer/Viren jeweils in Quarantäne gesteckt. Was nun?

Ich hab mich jetzt mal mit Tools wie Malwarebytes' Anti-Malware 1.30, CrapCleaner, SpybotS&D und nem kompletten Scan mit Avast selbstständig gemacht.


neuer HijackThis Report:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:19:39, on 28.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\ISW\alice\signup\AliceCnn.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*h**p://de.yahoo.com
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54DD5199-DD8A-41FD-A1A6-43B30672F868}: NameServer = 213.191.74.19 62.109.123.197
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5987 bytes



Malwarebytes Antimalware Log:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 3

28.10.2008 14:28:38
mbam-log-2008-10-28 (14-28-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 125595
Laufzeit: 29 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\XP_Antispyware (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\copyRiot\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\XP_AntiSpyware.lnk (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSbubv.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSShrxr.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSlxwp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSnmxh.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSoiqt.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSrhyp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSrtqp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSxfum.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSpqlt.sys (Rootkit.Agent) -> Delete on reboot.


Hier der Spybot Report (konnte keine .txt Datei erstellen)





Was soll ich als nächstes tun? Im Moment sind zwar die entdeckten Viren scheinbar untätig aber wirklich sicher und sauber scheint mein Pc nicht zu sein. Es handelt sich um die dritte Infizierung innerhalb von kanpp zwei Monaten. Ich surfe auch nicht auf dubiosen Seiten oder lade fragliche Dateien runter. Ich glaube bei der ersten Virusinfektion ist einfach noch der Schädling im System hängengeblieben, weswegen immer wieder Probleme auftauchen.

Desweiteren hat mir vor kurzem ein Freund zu Avast geraten. Davor hatte ich Antivir. Könnt ihr mir sagen, was von beiden besser ist oder ob ich nicht besser ein komplett anderes Antivirenprogramm benutzen sollte?

Wäre sehr dankbar wenn sich der Sache jemand annehmen könnte und mir weiterhelfen könnte.

Hallöle Martin.

Ich habe leider sehr schlechte Neuikeiten für dich: Dein Rechner ist wahrscheinlich seit den ersten Auffälligkeiten vor drei Monaten böse infiziert!

Trenne ihn schnellstens vom Netz und setzte ihn neu auf. Lasse alle online Banking und sonstige Acc wo es um Geld geht sperren und kontrolliere deine Überweisungen!

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Zitat:

Zitat von undoreal

Dein Rechner ist wahrscheinlich seit den ersten Auffälligkeiten vor drei Monaten böse infiziert

Wie sicher ist deine Annahme?

Ich habe auf diesem Rechner sehr viele persönliche Datein (Ich mache Musik) und könnte nicht wirklich auf diese Dateien verzichten.

Gibt es keine andere alternative Möglichkeit um das Problem zu beheben? Ich weiß, dass ich ein absoluter Leihe bin (deswegen vertraue ich ja auch den netten Leuten hier im Forum).. Formatieren wäre ja ansich sehr gut, jedoch weiß ich nicht wie ich das mit meinen Dateien machen soll (vorrausgesetzt es könnte wirklich jede Datei infiziert sein).

Mfg,
Martin

Zitat:

Wie sicher ist deine Annahme?

Sehr sicher. Die logs sind eindeutig. Der Schädling bekannt.

Zitat:

C:\WINDOWS\system32\TDSSbubv.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSShrxr.dll (Rootkit.Agent)

Es handelt sich dabei um einen Rootkit. Was das ist kannst du dir ergooglen.
Deine Problembeschreibung passt ebenfalls dazu.

Zitat:

Gibt es keine andere alternative Möglichkeit um das Problem zu beheben?

Gibt es, ist aber absolut nicht empfehlens wert. Was eine Kompromitierung ist hast du dir durchgelesen?
Es gibt keine Möglichkeit zu verifizieren dass der Rechner wirklich sauber ist.

Zitat:

Formatieren wäre ja ansich sehr gut, jedoch weiß ich nicht wie ich das mit meinen Dateien machen soll (vorrausgesetzt es könnte wirklich jede Datei infiziert sein).

Die Datein kannst du sichern! Unten steht beschrieben nach welchen Kriterien.

Nach Ausführen vom MBR.exe (konnte ich nur ausführen mit Deaktivierung von Avast, weil Avast das Als Trojaner eingestuft hat) hier nun die MBR Log:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Wie geht's jetzt weiter?

Danke schonmal für die schnelle Hilfe!

Zitat:

Wie geht's jetzt weiter?

Weiter im Text..

Zitat:

Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Hab alles so gemacht. Es taucht nach dem Doppelklick ein schwarzes "dos-artiges" Fenster für den Bruchteil einer Sekunde auf. Mehr erkenne ich nicht. Ein Log wird danach auch nicht auf dem Desktop erstellt.

Dann lege bitte die Windows CD ein und boote von ihr (Neustart mit eingelegter CD).
Beim ersten Bildschirm des Windows-Setup-Programms wähle "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole.
Dort gib folgenden Befehl ein

Zitat:

fixmbr

und bestätige.
Versuche danach mbrfix von GMER zum laufen zu bringen...
Sollte das immer noch nicht funktionieren dann lasse Blacklight bitte laufen und poste das log.. evtl. Funde bitte umbennen/beheben lassen!

Ich hab nur folgendes Problem: Meinem Rechner (Acer Aspire T-180) liegt keine Windows CD bei sondern ich wurde bei ersten Booten dazu aufgefordert eine Recovery CD zu erstellen. Diese CD hab ich natürlich ABER ich hab jetzt in unzähligen Foren gelesen, dass es immer wieder erhebliche Probleme mit Neuinstallierung von Windows mit Acer Rechnern gibt, da irgendetwas bei den verschiedenen Partitionen der Festplatte nach dem Formatieren durcheinanderkommt und der Rechner nicht mehr booten kann und diese selbsterstellten Recovery CDs nicht funktionieren. siehe hier: http://www.computerhilfen.de/hilfen-7-127669-15.html

Deswegen ist es für mich als Leihe ein Art Harakiriunternehmen jetzt zu formatieren.

Ich will nicht vor nem PC hocken, der gar nicht mehr anspringt.

Gibts hinsichtlich dieses Problemes Ratschläge?

Danke im Vorraus

Habe ich geschrieben das du Neuaufsetzen sollst?
Du sollst lediglich den MasterBootRecord reparieren lassen..

Krieg ich das auch ohne original Windows CD hin? Es hört sich ziemlich unsicher an mit dieser Recovery CD von Acer..

Wie das funktioniert steht hier beschrieben: http://support.microsoft.com/kb/307654/de#3

oder auch hier: http://www.frankn.com/Forum/archive/4930/thread.html