Hallo an alle,

nachdem ich mir den Trojaner "Antivirus 2009" gefangen habe, der sich als äußerst lästig herausstellte, bin ich auf euer Forum gestoßen und habe dank der guten Tipps per MalwareBytes das Programm zumindest oberflächlich entfernen können. Allerdings habe ich in den Threads zu diesem Thema auch gelesen, dass dies eventuell nicht ausreicht und u.U. das System dennoch neu aufgesetzt werden muss.

Darum poste ich hier mein HijackThis logfile (erstellt NACHDEM Malwarebytes den trojaner entfernt hat) sowie das malwarebytes-logfile.

Betriebssystem ist Win XP SP3

Ich hoffe, dass ihr mir weiterhelfen könnt und bedanke mich schonmal im Voraus!

1.: HJT - log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:16:17, on 06.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Programme\LifeView DTV\RemoteControl.exe
C:\Programme\Razer\DeathAdder\razerhid.exe
C:\WINDOWS\Hcontrol.exe
C:\Programme\Razer\DeathAdder\razertra.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Razer\DeathAdder\razerofa.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe
C:\WINDOWS\ATKOSD.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programme\AVG\AVG8\avgtray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ACMON] C:\Programme\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DTVRemote] "C:\Programme\LifeView DTV\RemoteControl.exe"
O4 - HKLM\..\Run: [DeathAdder] C:\Programme\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: karna.dat??,avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

--
End of file - 7018 bytes



2.: MB - Quickscan

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 51362
Laufzeit: 3 minute(s), 38 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.


3.: MB Full Scan

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 3

06.11.2008 13:01:25
mbam-log-2008-11-06 (13-01-25).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 207670
Laufzeit: 32 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Viele Grüße

Kupfi

Hallo,

mache bitte einen Scan mit diesem Programm:

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Erstmal vielen Dank.

Habe den Scan wie beschrieben durchgeführt. Allerdings wurde mir keine "combofix.txt" angezeigt, auch auf der Festplatte findet sich nichts dergleichen. Gibt es eine Möglichkeit irgendwie anders an das Log zu kommen?

Danke!

Es muss ein Logfile erstellt worden sein.
Entweder hast du es gelöscht, oder du findest es nicht.

Hast du es vom Desktop aus wie in der Anleitung beschrieben, ausgeführt?

Mein Fehler, hatte das Log aus irgendeinem Grund schon nach dem CCleaner erwartet

Hier also das log:


ComboFix 08-11-05.02 - Jan the Man 2008-11-06 20:20:23.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.584 [GMT 1:00]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\rasqervy.dll
c:\windows\sdfinacs.dll
c:\windows\sdfixwcs.dll
c:\windows\system32\av.dat
c:\windows\system32\dllcache\figaro.sys
c:\windows\system32\drivers\TDSSmaxt.sys
c:\windows\system32\TDSScfub.dll
c:\windows\system32\TDSSfpmp.log
c:\windows\system32\TDSSnmxh.dll
c:\windows\system32\TDSSnrsr.dll
c:\windows\system32\TDSSofxh.dll
c:\windows\system32\TDSSofxh.log
c:\windows\system32\TDSSosvd.dll
c:\windows\system32\TDSSpaxt.dat
c:\windows\system32\TDSSpaxt.log
c:\windows\system32\TDSSriqp.dll
c:\windows\system32\wini108014.exe
c:\windows\wuasirvy.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSSERV.SYS
-------\Legacy_TDSSSERV.SYS


((((((((((((((((((((((( Dateien erstellt von 2008-10-06 bis 2008-11-06 ))))))))))))))))))))))))))))))
.

2008-11-06 19:58 . 2008-11-06 19:58 <DIR> d-------- c:\programme\CCleaner
2008-11-06 16:06 . 2008-11-06 16:06 <DIR> d-------- c:\programme\Trend Micro
2008-11-06 13:57 . 2008-11-06 13:57 <DIR> d-------- c:\windows\system32\drivers\Avg
2008-11-06 13:57 . 2008-11-06 13:57 <DIR> d-------- c:\programme\AVG
2008-11-06 13:57 . 2008-11-06 13:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8
2008-11-06 13:57 . 2008-11-06 13:57 97,928 --a------ c:\windows\system32\drivers\avgldx86.sys
2008-11-06 13:57 . 2008-11-06 13:57 10,520 --a------ c:\windows\system32\avgrsstx.dll
2008-11-06 12:12 . 2008-11-06 12:12 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-06 12:12 . 2008-11-06 12:12 <DIR> d-------- c:\dokumente und einstellungen\Jan the Man\Anwendungsdaten\Malwarebytes
2008-11-06 12:12 . 2008-11-06 12:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-06 12:12 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-06 12:12 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-10-27 19:19 . 2008-04-14 03:58 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys
2008-10-27 19:19 . 2008-04-14 03:58 14,720 --a------ c:\windows\system32\dllcache\kbdhid.sys
2008-10-24 14:18 . 2008-10-15 18:35 337,408 --------- c:\windows\system32\dllcache\netapi32.dll
2008-10-20 18:37 . 2008-10-20 18:37 <DIR> d-------- c:\programme\Styles
2008-10-20 18:37 . 2008-10-20 18:37 <DIR> d-------- c:\programme\Skin
2008-10-20 18:37 . 2008-10-20 18:37 <DIR> d-------- c:\programme\program
2008-10-20 18:37 . 2008-10-20 18:37 <DIR> d-------- c:\programme\locale
2008-10-20 18:37 . 2008-10-20 18:37 <DIR> d-------- c:\programme\defaults
2008-10-20 18:37 . 2008-10-20 18:37 <DIR> d-------- c:\programme\classes
2008-10-20 16:59 . 2008-08-14 15:19 2,191,488 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-20 16:59 . 2008-08-14 15:19 2,147,840 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-20 16:59 . 2008-08-14 15:19 2,068,352 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-20 16:59 . 2008-08-14 15:19 2,026,496 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-20 16:59 . 2008-09-15 17:24 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys
2008-10-20 16:59 . 2008-09-08 12:41 333,824 --------- c:\windows\system32\dllcache\srv.sys
2008-10-16 10:16 . 2008-10-16 10:16 43 --a------ C:\MENU.CFG
2008-10-12 13:08 . 2007-02-02 18:34 520,192 --------- c:\windows\system32\ati2sgag.exe
2008-10-11 17:36 . 2008-10-11 17:36 <DIR> d-------- c:\windows\system32\Futuremark
2008-10-11 17:36 . 2004-10-25 20:02 21,664 --a------ c:\windows\system32\drivers\Entech.sys
2008-10-11 17:36 . 1999-11-02 10:01 6,173 --a------ c:\windows\system32\drivers\Entech.vxd
2008-10-11 17:36 . 2004-06-22 15:44 5,632 --a------ c:\windows\system32\drivers\Entech64.sys
2008-10-11 17:36 . 2001-11-19 19:05 3,972 --a------ c:\windows\system32\drivers\PciBus.sys
2008-10-11 17:35 . 2008-10-11 17:35 <DIR> d-------- c:\programme\Futuremark
2008-10-09 08:53 . 2008-04-14 04:22 219,136 --a------ c:\windows\system32\uxtheme.backup
2008-10-08 22:57 . 2008-10-08 22:57 <DIR> d-------- c:\windows\system32\de
2008-10-08 22:57 . 2008-10-08 22:57 <DIR> d-------- c:\windows\system32\bits
2008-10-08 22:57 . 2008-10-08 22:57 <DIR> d-------- c:\windows\l2schemas
2008-10-08 22:56 . 2008-10-08 22:56 <DIR> d-------- c:\windows\ServicePackFiles

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-06 12:53 81,984 ----a-w c:\windows\system32\bdod.bin
2008-10-20 17:37 1,576 ----a-w c:\programme\operadef6.ini
2008-10-09 08:00 219,136 ----a-w c:\windows\system32\uxtheme.dll
2008-10-04 13:25 8,252 ----a-w c:\programme\license.rtf
2008-10-04 13:25 234,215 ----a-w c:\programme\english.lng
2008-10-04 13:09 653,419 ----a-w c:\programme\encoding.bin
2008-10-04 13:09 36,864 ----a-w c:\programme\spellcheck.dll
2008-10-04 13:09 3,742,208 ----a-w c:\programme\opera.dll
2008-10-04 13:09 20,480 ----a-w c:\programme\OUniAnsi.dll
2008-10-04 13:08 98,816 ----a-w c:\programme\opera.exe
2008-10-03 17:58 6,066,176 ------w c:\windows\system32\dllcache\ieframe.dll
2008-09-15 16:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-08 11:41 333,824 ----a-w c:\windows\system32\drivers\srv.sys
2008-09-03 14:12 8,493 ----a-w c:\programme\search.ini
2008-08-27 09:57 3,593,216 ------w c:\windows\system32\dllcache\mshtml.dll
2008-08-25 09:38 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-08-25 09:37 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
2008-08-23 06:56 635,848 ------w c:\windows\system32\dllcache\iexplore.exe
2008-08-23 06:54 161,792 ------w c:\windows\system32\dllcache\ieakui.dll
2008-08-14 14:19 2,147,840 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 14:19 2,026,496 ----a-w c:\windows\system32\ntkrnlpa.exe
2008-08-14 11:04 138,496 ------w c:\windows\system32\dllcache\afd.sys
2008-06-09 10:17 301 ----a-w c:\programme\c3nform.vxml
2008-05-05 09:51 3,873 ----a-w c:\programme\lngcode.txt
2004-02-26 13:35 7,904 ----a-w c:\programme\html40_entities.dtd
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="d:\games\steam\steam.exe" [2008-10-08 1410296]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2007-04-04 165784]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2007-09-13 22880040]
"msnmsgr"="c:\programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\programme\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-10-21 761945]
"Wireless Console 2"="c:\programme\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
"ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224]
"Power_Gear"="c:\programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-14 90112]
"ACMON"="c:\programme\ASUS\Splendid\ACMON.exe" [2006-05-30 811008]
"ABLKSR"="c:\windows\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-02-16 282624]
"DTVRemote"="c:\programme\LifeView DTV\RemoteControl.exe" [2005-06-10 40960]
"DeathAdder"="c:\programme\Razer\DeathAdder\razerhid.exe" [2006-12-06 159744]
"Hcontrol"="c:\windows\Hcontrol.exe" [2002-01-08 53248]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-06 1234712]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Jan the Man\Startmen�\Programme\Autostart\
Trillian.lnk - c:\programme\Trillian\trillian.exe [2008-10-02 1873280]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2006-05-24 49152]
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2007-02-10 169472]
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=karna.dat??,avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= c_518679.nls
"aux2"= c_518679.nls
"mixer2"= c_518679.nls
"midi2"= c_518679.nls
"wave2"= c_518679.nls
"mixer1"= c_518679.nls
"aux1"= c_518679.nls
"midi1"= c_518679.nls

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"aspnet_state"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"d:\\Games\\Steam\\SteamApps\\doomguard50\\counter-strike source\\hl2.exe"=
"d:\\Games\\Steam\\SteamApps\\marshel@web.de\\counter-strike\\hl.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"d:\\Games\\Steam\\SteamApps\\doomguard50\\day of defeat source\\hl2.exe"=
"d:\\Games\\Steam\\SteamApps\\krause1704\\day of defeat source\\hl2.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Soulseek\\slsk.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-11-06 97928]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-06 231704]
R3 DAdderFltr;DeathAdder Mouse;c:\windows\system32\drivers\dadder.sys [2006-11-14 22144]
S2 LVEzLoader;LifeView EZ-USB FX2 FIRMWARE LOADER (LVEzLD06.sys);c:\windows\system32\Drivers\LVEzLD06.sys [2005-05-19 15360]
S3 ipswuio;ipswuio;c:\windows\system32\DRIVERS\ipswuio.sys [2006-01-24 34944]
S3 LifeView_USBDVBT;LVUSB Service;c:\windows\system32\Drivers\LVUSB_TX.sys [2005-06-16 24704]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{879afef5-7fd9-11dd-b050-0018f35f53dc}]
\Shell\AutoRun\command - setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e966d6ed-0bb2-11dc-ae01-0018f35f53dc}]
\Shell\AutoRun\command - G:\FarCryAutoCD.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-11-06 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2006-09-27 17:39]

2008-11-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-01-10 15:42]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Jan the Man\Anwendungsdaten\Mozilla\Firefox\Profiles\n77uj6ou.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.spiegel.de/
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - c:\programme\Opera\program\plugins\npdivx32.dll
FF -: plugin - c:\programme\program\plugins\npdsplay.dll
FF -: plugin - c:\programme\program\plugins\NPSWF32.dll
FF -: plugin - c:\programme\program\plugins\npwmsdrm.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-06 20:23:08
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\TDSSserv.sys]
"imagepath"="\systemroot\system32\drivers\TDSSmaxt.sys"
.
Zeit der Fertigstellung: 2008-11-06 20:24:23
ComboFix-quarantined-files.txt 2008-11-06 19:24:20

Vor Suchlauf: 16 Verzeichnis(se), 46,436,892,672 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 46,918,598,656 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

228 --- E O F --- 2008-10-24 23:00:01

Hattest du Probleme mit einem Silentbanker?

Arbeite bitte noch folgende Tools ab:

1.)
SDFix anwenden:

• Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

2.)
Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Sophos scannen lassen

• Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
• Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
• Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
• Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
• Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
• (Wichtig: "Show all" darf nicht angehakt sein)

• Starte den Durchlauf mit "Scan".

• Mache nichts am Computer während der Scan läuft.

• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

3.)
Lade dir bitte mbr detector herunter und führe ihn aus.
Poste das Ergebnis dann hier.

Aaaalso...

SDfix lässt sich bei mir aus irgendeinem Grund nicht starten. Wenn ich im abgesicherten Modus die RunThis.bat öffne, erscheint nur kurz ein Eingabefenster und schließt sich sofort wieder. Eingeben kann ich dabei nichts.

Der BlackLight Scan ergibt folgendes:

11/06/08 21:22:18 [Info]: BlackLight Engine 2.2.1092 initialized
11/06/08 21:22:18 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/06/08 21:22:19 [Note]: 7019 4
11/06/08 21:22:19 [Note]: 7005 0
11/06/08 21:22:22 [Note]: 7006 0
11/06/08 21:22:22 [Note]: 7011 1468
11/06/08 21:22:22 [Note]: 7035 0
11/06/08 21:22:22 [Note]: 7026 0
11/06/08 21:22:22 [Note]: 7026 0
11/06/08 21:22:25 [Note]: FSRAW library version 1.7.1024
11/06/08 21:22:49 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\C_518690.NLS
11/06/08 21:22:49 [Note]: 10002 2
11/06/08 21:22:49 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\C_518679.NLS
11/06/08 21:22:49 [Note]: 10002 2
11/06/08 21:22:49 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\C_518699.NLS
11/06/08 21:22:49 [Note]: 10002 2
11/06/08 21:22:49 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\C_518709.NLS
11/06/08 21:22:49 [Note]: 10002 2
11/06/08 21:22:52 [Note]: 2000 1012
11/06/08 21:22:52 [Note]: 2000 1012
11/06/08 21:23:02 [Note]: 7007 0

Bei Sophos muss man doch einiges an persönlichen Daten preisgeben, PLZ, Telefonnummer... das geht mir dann doch ein bisschen zu weit. Sollte dieses Programm besonders wichtig sein, bitte nochmal bescheidsagen

So sieht das GMER Log aus:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-06 21:31:26
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwEnumerateKey [0xF7379E2C]
SSDT sptd.sys ZwEnumerateValueKey [0xF737A1BA]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Fastfat \Fat 86F5E1E8

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.14 ----

Der mbr-detector verhält sich ähnlich wie SDfix... ein kurzes Fenster und weg.

Ich hoffe, das hilft dir (bzw mir ) weiter. Danke!

Naja, restliche Scans sind unnötig, der Fall ist eindeutig.

Geh bitte auf die Seite VirusTotal - Free Online Virus and Malware Scan und gib in das weiße Fenster folgendes ein:

Zitat:

c:\WINDOWS\SYSTEM32\C_518690.NLS

Lass die Datei dann analysieren. Suche sie nicht, sondern kopiere den Pfad von hier direkt rein.

mfg

PS. Du solltest dich schonmal mit einem Neuaufsetzen anfreunden...

Dies ist das Ergebnis:

Datei C_518690.NLS empfangen 2008.11.06 22:05:42 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.5.3 2008.11.06 -
AntiVir 7.9.0.26 2008.11.06 -
Authentium 5.1.0.4 2008.11.06 -
Avast 4.8.1248.0 2008.11.06 -
AVG 8.0.0.161 2008.11.06 -
BitDefender 7.2 2008.11.06 -
CAT-QuickHeal 9.50 2008.11.04 -
ClamAV 0.94.1 2008.11.06 -
DrWeb 4.44.0.09170 2008.11.06 -
eSafe 7.0.17.0 2008.11.06 -
eTrust-Vet 31.6.6195 2008.11.06 -
Ewido 4.0 2008.11.06 -
F-Prot 4.4.4.56 2008.11.06 -
F-Secure 8.0.14332.0 2008.11.06 -
Fortinet 3.117.0.0 2008.11.06 -
GData 19 2008.11.06 -
Ikarus T3.1.1.45.0 2008.11.06 -
K7AntiVirus 7.10.518 2008.11.06 -
Kaspersky 7.0.0.125 2008.11.06 -
McAfee 5425 2008.11.05 -
Microsoft 1.4005 2008.11.06 -
NOD32 3592 2008.11.06 -
Norman 5.80.02 2008.11.06 -
Panda 9.0.0.4 2008.11.05 -
PCTools 4.4.2.0 2008.11.06 -
Prevx1 V2 2008.11.06 -
Rising 21.02.32.00 2008.11.06 -
SecureWeb-Gateway 6.7.6 2008.11.06 -
Sophos 4.35.0 2008.11.06 -
Sunbelt 3.1.1783.2 2008.11.05 -
Symantec 10 2008.11.06 -
TheHacker 6.3.1.1.142 2008.11.06 -
TrendMicro 8.700.0.1004 2008.11.06 -
VBA32 3.12.8.9 2008.11.05 -
ViRobot 2008.11.6.1455 2008.11.06 -
VirusBuster 4.5.11.0 2008.11.06 -
weitere Informationen
File size: 358 bytes
MD5...: 406fa681f2e531e651235a30017798b3
SHA1..: 790554e5ece39f3b21d1f7acbed002feeae98842
SHA256: 00a5ae97ad874db2b209ca8547fa963cb330a120190a9554584e8079a1427619
SHA512: b507fc9471ec5f7e181e4a1977cbd0337eab39195a62f9ee617783eddbcbbead
db93cc2d27c11616428630c06f3647d8522c9c08d8fdd708e160a53c525bf6ff
PEiD..: -
TrID..: File type identification
Generic INI configuration (100.0%)
PEInfo: -

Was genau lässt sich daraus schließen?

Zitat:

Was genau lässt sich daraus schließen?

Das dein System mit einem Silentbanker infiziert ist und zwar einer, der z.Z. nicht erkannt wird.

Mit anderen Worten: Neuaufsetzen? Was tut ein Silentbanker? Vielen Dank für deine Mühe.

Ja, so könnte man es auch sagen...
Silentbanker ist spezialisiert darauf, dir deine TANs beim Onlinebanking abzunehmen.
Auch diverse andere Passwörter und Logindaten sind gefährdet.

Eine Frage hätte ich noch: Welche Dateien kann ich noch retten? Kann ich meine treiber, musik usw. behalten oder kann ein Silentbanker solche Dateien auch infizieren?

Die Frage ist evtl etwas dämlich, aber ich bin leider nicht so der Auskenner

Danke nochmals für die große Hilfe!

Zitat:

Welche Dateien kann ich noch retten? Kann ich meine treiber, musik usw. behalten oder kann ein Silentbanker solche Dateien auch infizieren?

Deine Daten kannst du natürlich sichern (Zu den Treibern, die brauchst du nicht sichern: http://www.trojaner-board.de/63543-a...-new-post.html)

Zitat:

Die Frage ist evtl etwas dämlich, aber ich bin leider nicht so der Auskenner

Keinesfalls, denn Vorsicht ist besser als Nachsicht.