ich grüße euch.

gestern habe ich mir beim unüberlegten saugen den rechner schön versaut. (windows xp)
den fake antivirus2009 habe ich gut wegbekomm dank malewarebyte aber dann fiel mir heute auf dass irgendwas faul ist. gdata antivirus 2009 hat ein trojaner gefunden Trojan.Downloarder.Firu.H und auch im task manager laufen komische sachen

Zitat:

iexplore.exe

ist wohl faul.

muss allerdings zugeben dass ich nicht so die ahnung habe und mein verdacht nur durch aufmerksames googeln und analysieren der posts kommt.

hab mir auch dieses HijackThis geladen wie beschrieben um diese dokfile zu bekomm.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:35:59, on 01.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20900)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\PAStiSvc.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\WgaTray.exe
C:\WINXP\Explorer.EXE
C:\WINXP\Mixer.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\WINXP\system32\G5M2yb6i.exe
C:\Programme\G DATA\AntiVirus\AVK\AVK.exe
C:\WINXP\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINXP\System32\PAStiSvc.exe

--
End of file - 6770 bytes
         

ich glaube ich brauche dringend hilfe von einem experten wie ich mein rechner wieder flott bekomme...

und wie gesagt meine pc kenntnisse sind leider begrenzt gerade was solche herausforderungen betrifft. aber ich bin sehr lernfähig.

liebe grüße

christoph aus berlin

editionen:

hab mal etwas zuarbeit gemacht die bestimmt weiterhilft.

hab folgende dateien aus der logdatei überprüft.

Code: Alles auswählenAufklappen

ATTFilter

C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\PAStiSvc.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\WgaTray.exe
C:\WINXP\Explorer.EXE
C:\WINXP\Mixer.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\WINXP\system32\G5M2yb6i.exe
C:\Programme\G DATA\AntiVirus\AVK\AVK.exe
C:\WINXP\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
         

überprüfung von VirusTotal - Free Online Virus and Malware Scan hat bei folgenden dateien schadsoftware erkannt

bei datei:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
         

ANALYSEPROTOKOLL:

Code: Alles auswählenAufklappen

ATTFilter

Datei AVKProxy.exe empfangen 2008.11.01 19:20:11 (CET)Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.11.1.0 2008.11.01 - 
AntiVir 7.9.0.10 2008.10.31 - 
Authentium 5.1.0.4 2008.11.01 - 
Avast 4.8.1248.0 2008.11.01 - 
AVG 8.0.0.161 2008.11.01 - 
BitDefender 7.2 2008.11.01 - 
CAT-QuickHeal 9.50 2008.11.01 - 
ClamAV 0.94.1 2008.11.01 - 
DrWeb 4.44.0.09170 2008.11.01 - 
eSafe 7.0.17.0 2008.10.30 - 
eTrust-Vet 31.6.6185 2008.11.01 - 
Ewido 4.0 2008.11.01 - 
F-Prot 4.4.4.56 2008.11.01 - 
F-Secure 8.0.14332.0 2008.11.01 - 
Fortinet 3.117.0.0 2008.10.31 - 
GData 19 2008.11.01 - 
Ikarus T3.1.1.44.0 2008.11.01 - 
K7AntiVirus 7.10.514 2008.11.01 - 
Kaspersky 7.0.0.125 2008.11.01 - 
McAfee 5420 2008.11.01 - 
Microsoft 1.4005 2008.11.01 - 
NOD32 3575 2008.10.31 - 
Norman 5.80.02 2008.10.31 - 
Panda 9.0.0.4 2008.11.01 Suspicious file 
PCTools 4.4.2.0 2008.11.01 - 
Prevx1 V2 2008.11.01 - 
Rising 21.01.52.00 2008.11.01 - 
SecureWeb-Gateway 6.7.6 2008.11.01 - 
Sophos 4.35.0 2008.11.01 - 
Sunbelt 3.1.1767.2 2008.10.31 - 
Symantec 10 2008.11.01 - 
TheHacker 6.3.1.1.135 2008.10.31 - 
TrendMicro 8.700.0.1004 2008.10.31 - 
VBA32 3.12.8.9 2008.11.01 suspected of Win32.BrokenEmbeddedSignature  (paranoid heuristics) 
ViRobot 2008.10.31.1446 2008.10.31 - 
VirusBuster 4.5.11.0 2008.10.31 - 
 
weitere Informationen 
File size: 724040 bytes 
MD5...: 0600a9dda3dc6bd67c9b3400ee5695da 
SHA1..: 68b441472f0b19c688fe1e0ea070e5c2963db47d 
SHA256: ad20b11b68377cfaa7524463218fe5f63fc81301e89019afa94956318c998f32 
SHA512: bf542399c9002ba45a86c07f7730d3c223a2c889529afc8b7356d4176c7118aa<BR>78bf025645635d23d134112583456e96e5ba2350acd579e42b7109eee94f749a 
PEiD..: - 
TrID..: File type identification<BR>Windows Screen Saver (51.1%)<BR>Win32 Executable Generic (33.2%)<BR>Generic Win/DOS Executable (7.8%)<BR>DOS Executable Generic (7.8%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x459417<BR>timedatestamp.....: 0x48aa1191 (Tue Aug 19 00:19:29 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x762f0 0x76400 6.60 9cc31873957e1c8b9c8550a7402884df<BR>.rdata 0x78000 0x1c63b 0x1c800 4.77 e318baba62217027aebc1ef317572b7d<BR>.data 0x95000 0x76fc 0x4e00 4.80 af0b936c19561fb69736fc22d4f8a05c<BR>.rsrc 0x9d000 0x177c0 0x17800 4.49 d6ecde0a775dfb186e5b0b5293d8e044<BR><BR>( 9 imports ) <BR>&gt; WS2_32.dll: -, -, -, -, -, -, -, -, WSACreateEvent, WSAEventSelect, WSAEnumNetworkEvents, -, -, -, -, -, -, -, -, -, -, -<BR>&gt; VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA<BR>&gt; PSAPI.DLL: EnumProcesses<BR>&gt; KERNEL32.dll: InterlockedDecrement, lstrlenA, OutputDebugStringA, CreateEventA, CloseHandle, SetEvent, ResetEvent, WaitForSingleObject, GetTickCount, GetLastError, lstrlenW, RaiseException, InterlockedIncrement, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, lstrcmpiA, EnterCriticalSection, LeaveCriticalSection, GetCurrentThreadId, GetModuleHandleW, IsDBCSLeadByte, FreeLibrary, LoadLibraryExA, GetWindowsDirectoryA, GetCommandLineA, GetCurrentProcessId, LoadLibraryA, DeleteFileA, CopyFileA, GetTempPathA, IsBadStringPtrA, IsBadWritePtr, IsBadReadPtr, Sleep, TerminateThread, MoveFileA, FindClose, FindNextFileA, FindFirstFileA, SetLastError, ReleaseMutex, CreateMutexA, CreateDirectoryA, WideCharToMultiByte, WriteFile, SetFilePointer, ReadFile, GetFileSize, GetTimeZoneInformation, CreateFileA, OutputDebugStringW, GetShortPathNameW, LocalFree, DuplicateHandle, GetCurrentProcess, OpenProcess, MoveFileExA, GetVersionExA, TerminateProcess, HeapFree, HeapAlloc, GetProcessHeap, GetExitCodeProcess, DeleteFileW, MoveFileExW, WaitForMultipleObjects, ResumeThread, OpenEventA, SwitchToThread, CreateProcessA, SuspendThread, HeapDestroy, HeapReAlloc, HeapSize, GetStringTypeA, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, LCMapStringW, LCMapStringA, GetStartupInfoA, FindResourceExA, FindResourceA, LoadResource, LockResource, SizeofResource, DeleteCriticalSection, InitializeCriticalSection, MultiByteToWideChar, GetTimeFormatA, GetStringTypeW, HeapCreate, VirtualFree, ExitProcess, GetStdHandle, SetHandleCount, GetFileType, GetConsoleCP, GetConsoleMode, FlushFileBuffers, SetStdHandle, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, InitializeCriticalSectionAndSpinCount, GetLocaleInfoW, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileW, SetEndOfFile, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetSystemTimeAsFileTime, RtlUnwind, RemoveDirectoryA, CreateThread, ExitThread, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, VirtualQuery, GetSystemInfo, VirtualAlloc, VirtualProtect, GetDateFormatA<BR>&gt; USER32.dll: CharLowerA, LoadStringW, MsgWaitForMultipleObjects, DispatchMessageA, TranslateMessage, PeekMessageA, CharNextA, PostThreadMessageA, CharNextW, GetMessageA, MessageBoxA, wsprintfA<BR>&gt; ADVAPI32.dll: OpenSCManagerA, CryptDecrypt, CryptEncrypt, CryptDestroyKey, CryptCreateHash, CryptHashData, CryptDeriveKey, CryptDestroyHash, CryptReleaseContext, CryptAcquireContextA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, AllocateAndInitializeSid, FreeSid, EqualSid, OpenProcessToken, GetTokenInformation, SetEntriesInAclA, SetSecurityInfo, LookupPrivilegeValueA, AdjustTokenPrivileges, ControlService, DeleteService, CreateServiceA, ChangeServiceConfig2A, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerA, RegEnumKeyExA, RegisterEventSourceA, ReportEventA, DeregisterEventSource, RegQueryInfoKeyA, RegCreateKeyA, SetServiceStatus, RegSetValueExA, OpenServiceA, CloseServiceHandle, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegDeleteValueA, RegDeleteKeyA<BR>&gt; ole32.dll: CreateStreamOnHGlobal, OleRun, CoCreateInstance, CoInitialize, CoUninitialize, CLSIDFromProgID, CLSIDFromString, CoTaskMemAlloc, CoTaskMemRealloc, CoRevokeClassObject, CoRegisterClassObject, CoTaskMemFree, CoInitializeSecurity, CoInitializeEx, StringFromGUID2, CoReleaseMarshalData, CoUnmarshalInterface, CoMarshalInterface<BR>&gt; SHELL32.dll: SHGetFolderPathA<BR>&gt; OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -<BR><BR>( 42 exports ) <BR>__0CAuthError@ASAPSDK@@QAE@ABV01@@Z, __0CAuthError@ASAPSDK@@QAE@W4e_ASAPErrors@1@ABVasapstring@1@@Z, __0CCommError@ASAPSDK@@QAE@ABV01@@Z, __0CCommError@ASAPSDK@@QAE@W4e_ASAPErrors@1@ABVasapstring@1@@Z, __0CException@ASAPSDK@@QAE@ABV01@@Z, __0CException@ASAPSDK@@QAE@W4e_ASAPErrors@1@ABVasapstring@1@@Z, __0CGeneralError@ASAPSDK@@QAE@ABV01@@Z, __0CGeneralError@ASAPSDK@@QAE@W4e_ASAPErrors@1@ABVasapstring@1@@Z, __0CLogicError@ASAPSDK@@QAE@ABV01@@Z, __0CLogicError@ASAPSDK@@QAE@W4e_ASAPErrors@1@ABVasapstring@1@@Z, __0CMessageError@ASAPSDK@@QAE@ABV01@@Z, __0CMessageError@ASAPSDK@@QAE@W4e_ASAPErrors@1@ABVasapstring@1@@Z, __0asapstring@ASAPSDK@@QAE@ABV01@@Z, __0asapstring@ASAPSDK@@QAE@PBD@Z, __0asapstring@ASAPSDK@@QAE@XZ, __1CAuthError@ASAPSDK@@UAE@XZ, __1CCommError@ASAPSDK@@UAE@XZ, __1CException@ASAPSDK@@UAE@XZ, __1CGeneralError@ASAPSDK@@UAE@XZ, __1CLogicError@ASAPSDK@@UAE@XZ, __1CMessageError@ASAPSDK@@UAE@XZ, __1asapstring@ASAPSDK@@UAE@XZ, __4CAuthError@ASAPSDK@@QAEAAV01@ABV01@@Z, __4CCommError@ASAPSDK@@QAEAAV01@ABV01@@Z, __4CException@ASAPSDK@@QAEAAV01@ABV01@@Z, __4CGeneralError@ASAPSDK@@QAEAAV01@ABV01@@Z, __4CLogicError@ASAPSDK@@QAEAAV01@ABV01@@Z, __4CMessageError@ASAPSDK@@QAEAAV01@ABV01@@Z, __4asapstring@ASAPSDK@@QAEXABV01@@Z, __4asapstring@ASAPSDK@@QAEXPBD@Z, __Basapstring@ASAPSDK@@QAEPBDXZ, ___7CAuthError@ASAPSDK@@6B@, ___7CCommError@ASAPSDK@@6B@, ___7CException@ASAPSDK@@6B@, ___7CGeneralError@ASAPSDK@@6B@, ___7CLogicError@ASAPSDK@@6B@, ___7CMessageError@ASAPSDK@@6B@, ___7asapstring@ASAPSDK@@6B@, _Attach@asapstring@ASAPSDK@@QAEXPAD@Z, _Detach@asapstring@ASAPSDK@@QAEPADXZ, DeallocString, DuplicateString<BR>
         

bei datei:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
         

ANALYSEPROTOKOLL:

Code: Alles auswählenAufklappen

ATTFilter

Datei AVKWCtl.exe empfangen 2008.11.01 19:50:58 (CET)Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.11.1.0 2008.11.01 - 
AntiVir 7.9.0.10 2008.10.31 - 
Authentium 5.1.0.4 2008.11.01 - 
Avast 4.8.1248.0 2008.11.01 - 
AVG 8.0.0.161 2008.11.01 - 
BitDefender 7.2 2008.11.01 - 
CAT-QuickHeal 9.50 2008.11.01 - 
ClamAV 0.94.1 2008.11.01 - 
DrWeb 4.44.0.09170 2008.11.01 - 
eSafe 7.0.17.0 2008.10.30 - 
eTrust-Vet 31.6.6185 2008.11.01 - 
Ewido 4.0 2008.11.01 - 
F-Prot 4.4.4.56 2008.11.01 - 
F-Secure 8.0.14332.0 2008.11.01 - 
Fortinet 3.117.0.0 2008.10.31 - 
GData 19 2008.11.01 - 
Ikarus T3.1.1.44.0 2008.11.01 - 
K7AntiVirus 7.10.514 2008.11.01 - 
Kaspersky 7.0.0.125 2008.11.01 - 
McAfee 5420 2008.11.01 - 
Microsoft 1.4005 2008.11.01 - 
NOD32 3575 2008.10.31 - 
Norman 5.80.02 2008.10.31 - 
Panda 9.0.0.4 2008.11.01 - 
PCTools 4.4.2.0 2008.11.01 EICAR_Test_File 
Prevx1 V2 2008.11.01 - 
Rising 21.01.52.00 2008.11.01 - 
SecureWeb-Gateway 6.7.6 2008.11.01 - 
Sophos 4.35.0 2008.11.01 - 
Sunbelt 3.1.1767.2 2008.10.31 - 
Symantec 10 2008.11.01 - 
TheHacker 6.3.1.1.135 2008.10.31 - 
TrendMicro 8.700.0.1004 2008.10.31 - 
VBA32 3.12.8.9 2008.11.01 suspected of Win32.BrokenEmbeddedSignature  (paranoid heuristics) 
ViRobot 2008.10.31.1446 2008.10.31 - 
VirusBuster 4.5.11.0 2008.10.31 - 
 
weitere Informationen 
File size: 1185496 bytes 
MD5...: f1498b86a7da9ad5c3bdd0f604d617da 
SHA1..: bd3c486dbcd9e3c558584fad0ab45a274734d2e1 
SHA256: f97b5c8dfc81a96ceb3e928d1971928458acb3d3ed9f816d96416f29a010ecce 
SHA512: 978a14015a618114dee09525409bf9c01ffb99c397cfd65f2e100e4150099c5e<BR>df2a76ae4e8de2cfa9c498fb3992373258d801978cc3829742e3be26d7f364d2 
PEiD..: - 
TrID..: File type identification<BR>Win64 Executable Generic (59.6%)<BR>Win32 Executable MS Visual C++ (generic) (26.2%)<BR>Win32 Executable Generic (5.9%)<BR>Win32 Dynamic Link Library (generic) (5.2%)<BR>Generic Win/DOS Executable (1.3%) 
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x49507f<BR>timedatestamp.....: 0x48a303a4 (Wed Aug 13 15:54:12 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0xc2a7e 0xc3000 6.46 b9cf58a7506761cb438eaf5eda32835c<BR>.rdata 0xc4000 0x23492 0x24000 4.81 a1ec85deb3b7f1a26828fd315a883b19<BR>.data 0xe8000 0xced0 0x9000 5.16 8c34c00c6382b832f5e504db2481265a<BR>.rsrc 0xf5000 0x2ced0 0x2d000 4.63 4e41a22c6c5418a40f55bc957ed2356c<BR><BR>( 7 imports ) <BR>&gt; KERNEL32.dll: CreateProcessW, OutputDebugStringA, FileTimeToSystemTime, FileTimeToLocalFileTime, OpenEventW, CreateEventW, DebugBreak, SetThreadPriority, CreateFileA, GetVolumeInformationA, ReadFile, SetFilePointer, WriteFile, VirtualAlloc, CreateFileW, GetShortPathNameW, DeviceIoControl, GetFileInformationByHandle, GetFileType, CancelIo, GetOverlappedResult, GetFileSize, SetFileAttributesW, GetFileAttributesW, CreateDirectoryW, RemoveDirectoryW, FindNextFileW, SetLastError, GetLogicalDrives, GetDriveTypeW, GlobalFree, GlobalUnlock, GlobalLock, GlobalAlloc, LocalFree, LocalAlloc, OpenProcess, GetEnvironmentStringsW, GetShortPathNameA, GetWindowsDirectoryW, ExpandEnvironmentStringsW, DeleteFileA, SetFileAttributesA, GetFileAttributesA, SetErrorMode, SetEnvironmentVariableA, CompareStringW, CompareStringA, FlushFileBuffers, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetLocaleInfoW, GetExitCodeProcess, GetConsoleMode, GetConsoleCP, GetTickCount, QueryPerformanceCounter, GetStartupInfoA, SetHandleCount, GetCommandLineA, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStringTypeW, GetStringTypeA, IsValidLocale, EnumSystemLocalesA, GetUserDefaultLCID, LCMapStringW, LCMapStringA, GetDateFormatA, GetTimeFormatA, GetTimeZoneInformation, IsValidCodePage, GetOEMCP, GetSystemDirectoryW, ResetEvent, ResumeThread, WaitForMultipleObjects, FormatMessageW, HeapAlloc, SetEvent, TerminateThread, GetCommandLineW, GetCurrentProcess, TerminateProcess, GetCurrentProcessId, OutputDebugStringW, Sleep, GetModuleHandleW, LoadLibraryExW, FindResourceW, LoadResource, SizeofResource, GetCurrentThreadId, FreeLibrary, GetVersionExW, GetModuleFileNameW, GetTempFileNameW, LoadLibraryA, WideCharToMultiByte, ReleaseMutex, WaitForSingleObject, CloseHandle, CreateMutexW, CreateMutexA, lstrcmpiW, GetProcessHeap, HeapFree, FindFirstFileW, FindClose, GetLastError, DeleteCriticalSection, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, RaiseException, LoadLibraryW, InterlockedIncrement, GetTempPathW, DeleteFileW, CopyFileW, lstrlenA, GetCPInfo, HeapSize, GetModuleFileNameA, GetStdHandle, ExitProcess, FatalAppExitA, VirtualFree, HeapCreate, HeapDestroy, GetCurrentThread, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetStartupInfoW, CreateThread, ExitThread, VirtualQuery, GetSystemInfo, GetModuleHandleA, VirtualProtect, GetSystemTimeAsFileTime, HeapReAlloc, RtlUnwind, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, MultiByteToWideChar, lstrlenW, InterlockedDecrement, GetProcAddress, SetConsoleCtrlHandler<BR>&gt; USER32.dll: InsertMenuW, PostThreadMessageW, DestroyIcon, GetSystemMetrics, GetMenuStringW, GetMenuItemID, GetSubMenu, GetMenuState, GetMenuItemCount, DestroyMenu, CreatePopupMenu, GetMessageW, SetUserObjectSecurity, GetUserObjectSecurity, CloseWindowStation, UnregisterClassA, CloseDesktop, EnableMenuItem, DispatchMessageW, PeekMessageW, TranslateMessage, MessageBoxW, CharNextW, LoadStringW, SetMenuDefaultItem, DestroyWindow, LoadImageW, CharLowerW, OpenWindowStationW, GetProcessWindowStation, SetProcessWindowStation, OpenDesktopW<BR>&gt; ADVAPI32.dll: DeregisterEventSource, ControlService, CloseServiceHandle, OpenServiceW, OpenSCManagerW, RegDeleteKeyA, RegDeleteValueA, RegSetValueExA, RegCreateKeyExA, RegQueryValueExA, RegOpenKeyExA, LogonUserW, CreateProcessAsUserW, OpenProcessToken, LookupPrivilegeValueW, AdjustTokenPrivileges, AddAccessAllowedAce, InitializeSecurityDescriptor, GetSecurityDescriptorDacl, GetAclInformation, InitializeAcl, AddAce, GetAce, SetSecurityDescriptorDacl, GetTokenInformation, GetLengthSid, CopySid, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, RegisterEventSourceW, ReportEventW, CreateServiceW, ChangeServiceConfig2W, QueryServiceConfigW, RegCreateKeyW, RegEnumValueW, RegEnumKeyExW, RegQueryInfoKeyW, RegSetValueExW, RegQueryValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, SetServiceStatus, DeleteService<BR>&gt; SHELL32.dll: SHGetMalloc, SHGetSpecialFolderLocation, SHGetFileInfoA, SHGetDesktopFolder, ExtractIconExW, ShellExecuteExW, SHGetFolderPathW<BR>&gt; ole32.dll: CoTaskMemAlloc, CoRevokeClassObject, CoTaskMemFree, CoCreateInstance, CoInitializeEx, CoSetProxyBlanket, CoUninitialize, CoInitializeSecurity, WriteClassStm, OleSaveToStream, StringFromGUID2, OleRun, CLSIDFromProgID, CLSIDFromString, StgCreateDocfile, StgOpenStorage, OleLoadFromStream, CoInitialize, ReadClassStm, CoRegisterClassObject, CoCreateInstanceEx, CoFreeUnusedLibraries, CoGetObject, CoTaskMemRealloc<BR>&gt; OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -<BR>&gt; COMCTL32.dll: ImageList_ReplaceIcon, ImageList_Destroy, ImageList_Write, ImageList_Create<BR><BR>( 0 exports ) <BR>
         

Hallo

Arbeite bitte folgende Punkte der Reihe nach durch:

1.)
Anleitung SmitfraudFix (by S!Ri)

Klick auf das Symbol und lies die Anleitung ->
und lass das System durchsuchen. (Option 2)

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

2.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung
• Lösche alles in der Quarantäne:

• poste das entstandene Logfile

3.)
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

4.)
Random's System Information Tool

• Lade dir die RSIT.exe von random/random herunter und speichere sie auf den Desktop.
• Starte RSIT mit einem Doppelklick.
• Klicke auf Continue um die Nutzungsbedingungen zu akzeptieren.
• Nach dem Scan werden zwei Logfiles erstellt (log.txt und info.txt)
• Poste den Inhalt der beiden Logfiles in [code]-Tags:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

mfg

aloah...

erst mal allerbesten dank dass du mir helfen willst. komm mir vor als würde ich grad im krieg sein ^^

also hier ist das ergebnis von smitfraudfix erstmal (rapport.txt)

Code: Alles auswählenAufklappen

ATTFilter

SmitFraudFix v2.371

Scan done at 20:22:33,89, 01.11.2008
Run from C:\Dokumente und Einstellungen\Pentium4\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINXP\Tasks\At?.job Deleted
C:\WINXP\Tasks\At??.job Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E7F61B88-8739-40B3-A89F-77FEEDD3236D}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E7F61B88-8739-40B3-A89F-77FEEDD3236D}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E7F61B88-8739-40B3-A89F-77FEEDD3236D}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
         

der rest kommt auch gleich...

malewarebytes logdatei

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1354
Windows 5.1.2600 Service Pack 2

01.11.2008 21:50:30
mbam-log-2008-11-01 (21-50-30).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 79245
Laufzeit: 55 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 21
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\asapcom.asapclass (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{bce2e826-d0f5-41c8-97be-28a6f540ceeb} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{21447c90-6ec1-4fc1-9379-bd515008aedb} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{32c97a37-e2b8-4097-9330-5f3e1125e181} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{b0c3de1b-e3ff-4dd0-9229-f452cf9c678e} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d2d94732-a74d-433c-98f7-9ed740e82ae9} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{dfd5d79b-ef2f-4a51-9821-5b469f05262e} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{286e500c-ef0a-4aa3-a94d-e495f653ef4b} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{319260ab-be0c-4025-8569-7a27ed2faab9} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8ac5bc54-b13b-4642-99f9-0baa2d116184} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9809a6b4-70b1-4bb2-b3b5-b415763a534e} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d5178f77-c5e6-4e8f-9787-48b5d7eccce8} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asapclass.1 (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asapenvelope (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asapenvelope.1 (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asapmain (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asapmain.1 (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asapmessage (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asapmessage.1 (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asaprecipients (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\asapcom.asaprecipients.1 (Adware.Hotbar) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\asapsdk.dll (Adware.Hotbar) -> Quarantined and deleted successfully.
         

Sieht bis jetzt gut aus.