AntiVir findet täglich neue Viren/Trojaner

minilu · 19.11.2008, 16:31

Hallo,

hab mit meinem Problem n bisschen bei Google geschnüffelt und bin auf das Board hier gestoßen. Ich bin sicher, ihr könnt mir helfen

Ich arbeite mit XP und hab nen DSL-Anschluss der Telekom.

Vor einien Wochen bemerkte ich, dass ich beim Googlen nicht mehr auf die gewünschten Seiten gelang sondern auf irgendwelche anderen Seiten (ebay usw.) umgeleitet wurde. Auch hatte mein Rechner deutlich an Geschwindigkeit verloren. Beim Starten des Rechners erhielt ich irgendwann auch eine Fehlermeldung "...exe hat ein Problem festgestellt". Der Aufruf des Task-Managers scheiterte da angeblich "vom Administrator deaktiviert"... Ich konnte ihn jedoch wieder aktivieren.Später kam dann auch noch eine Warnmeldung dass mein Antivirusprogramm (Avast) nicht mehr auf dem neusten Stand ist. Der Versuch der Aktualisierung scheiterte, auch war es mir nicht möglich, die Avast-Seite im Internet aufzurufen. Ich installierte darufhin AntiVir und schmiss das Avast runter. Beim ersten Scan fand AntiVir 17 verschieden Viren und Trojaner, überwiegend im Ordner System32. Die Fehlermeldung ist seit dem nicht wieder aufgetaucht, die o.g. Probleme beim Googlen und die Geschwindigkeit blieben jedoch. Jetzt findet Antivir fast täglich 1-3 Viren oder Trojaner im Ordner System32.

Ich denke ich hab mich infiziert, oder ? Wahrscheinlich durch Limewire...

Ist da noch was zu retten ? Was kann ich tun ?

Viele Grüße

cosinus · 19.11.2008, 18:22

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

minilu · 19.11.2008, 20:43

Danke für die schnelle Antwort.

Leider lässt mich mein Rechner nicht auf alle deiner Links zugreifen. Es fängt schon bei der umbenannten hijackthis.exe an. Auch auf das MBR-Tool, Blacklight und ComboFix kann ich nicht zugreifen. Mein Firefox meldet mir immer den Fehler:Verbindung fehlgeschlagen. So wars auch wenn ich auf die Avast-Seite wollte. Wat nu?

minilu · 19.11.2008, 21:10

So, das mit dem HijackThis hab ich hinbekommen. Habs mir bei pc-welt runtergeladen. Auf die Seite komme ich rauf. Jetzt versuch ich mal das Logfile zu Posten.

Code:

ATTFilter

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:56:17, on 19.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1C1DD717-53B2-485E-A17B-C9977C205E10} - C:\WINDOWS\system32\iifecdb.dll (file missing)
O2 - BHO: (no name) - {6F0D4E0B-3063-4444-8EE7-DBFCBFA10293} - C:\WINDOWS\system32\pmkjj.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {B709A88D-562F-4725-9FB9-DA563EAF3A2C} - C:\Programme\MSN Gaming Zone\qurobuC:\WINDOWS\system32\e1\caws83122.exe.dll (file missing)
O2 - BHO: (no name) - {E15CB747-FEAE-43A2-B6EB-EAAEB8B74971} - C:\WINDOWS\system32\awvvv.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2210] "C:\DOKUME~1\Michael\LOKALE~1\Temp\wintavsnet.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O20 - Winlogon Notify: iifecdb - iifecdb.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5705 bytes

gufo · 19.11.2008, 21:17

Hallo,

starte den Editor und kopiere folgenden Inhalt. Danach abspeichern und die Endung der erstellten Datei von xyz.txt in xyz. bat um!
Nun ein Doppelklick darauf und es werden Ergebnisse geliefert, diese Inhalte poste...
(Quelle > filelist.bat)

Code:

ATTFilter

@echo off
if "%temp%"=="" set temp=%windir%\..
set lfile=%temp%\filelist.txt
if exist %lfile% del %lfile%

ver | find /i "Windows XP" > nul
if not errorlevel 1 goto newwin
ver | find /i "Windows 2000" > nul
if not errorlevel 1 goto newwin
ver | find /i "Windows 2003" > nul
if not errorlevel 1 goto newwin
ver | find /i "Windows NT" > nul
if not errorlevel 1 goto newwin
ver | find /i "Windows ME" > nul
if not errorlevel 1 goto oldwin
ver | find /i "Windows Millennium" > nul
if not errorlevel 1 goto oldwin
ver | find /i "Windows 98" > nul
if not errorlevel 1 goto oldwin

echo not supported windows version >> %lfile%
echo ---------------------------------------- >> %lfile%
ver >> %lfile%
goto finish

:oldwin
cd %windir%\..
echo ----- Root ----------------------------- >> %lfile%
dir /a:-d /o:-d >> %lfile%
echo. >> %lfile%
echo ----- System --------------------------- >> %lfile%
dir %windir%\system /a:-d /o:-d >> %lfile%
goto common

:newwin
%systemdrive%
cd \
echo ----- Root ----------------------------- >> %lfile%
dir /a:-d /o:-d >> %lfile%
echo. >> %lfile%
echo ----- System32 ------------------------- >> %lfile%
dir %windir%\system32 /a:-d /o:-d >> %lfile%

echo. >> %lfile%
if exist %windir%\Prefetch\nul goto :prefdo
echo ----- no Prefetch dir ------------------ >> %lfile%
goto prefskip
:prefdo
echo ----- Prefetch ------------------------- >> %lfile%
dir %windir%\Prefetch /a:-d /o:-d >> %lfile%
:prefskip

:common
echo. >> %lfile%
echo ----- Windows -------------------------- >> %lfile%
dir %windir% /a:-d /o:-d >> %lfile%

echo. >> %lfile%
if exist %windir%\tasks\nul goto :taskdo
echo ----- no Tasks dir --------------------- >> %lfile%
goto taskskip
:taskdo
echo ----- Tasks ---------------------------- >> %lfile%
dir %windir%\tasks /a:-d /o:-d >> %lfile%
:taskskip

echo. >> %lfile%
if exist %windir%\temp\nul goto :wtmpdo
echo ----- no Wintemp dir ------------------- >> %lfile%
goto wtmpskip
:wtmpdo
echo ----- Wintemp -------------------------- >> %lfile%
dir %windir%\temp /a:-d /o:-d >> %lfile%
:wtmpskip

if "%temp%"=="" goto notmp1
echo. >> %lfile%
echo ----- Temp ----------------------------- >> %lfile%
dir %temp% /a:-d /o:-d >> %lfile%
if "%temp%"=="%tmp%" goto notmp2

:notmp1
if "%tmp%"=="" goto notmp2
echo. >> %lfile%
echo ----- Tmp ------------------------------ >> %lfile%
dir %temp% /a:-d /o:-d >> %lfile%

:notmp2
:finish
start notepad %lfile%

minilu · 19.11.2008, 21:33

Hallo,

meinst du, den Editor mit dem Logfile das ich oben gepostet habe öffnen, mit deinem Text überscheiben und dann speichern ? Wo kann ich denn dann die Endung txt in bat ändern ? Bin leider nur (wie heißt es so schön) DAU

minilu · 19.11.2008, 21:49

oh, ich glaube ich habs geschafft :-)

Logfile war zu groß. Hier der Link:

File-Upload.net - filelist.txt

cosinus · 20.11.2008, 16:10

Ja, da sieht man schon einige böse Dateien

Bevor wir die jetzt alle manuell löschen: Klappt der Download von Combofix? Wenn nicht, lad Combofix bitte von hier. Ansonsten Anleitung oben.

gufo · 20.11.2008, 19:19

>Ja, da sieht man schon einige böse Dateien

...am 05.10.08 fand die Infektion laut Zeitstempel statt!
folgend die Übersicht, beispiel /System32...

Code:

ATTFilter

05.10.2008  22:14             4.096 winlogonpc.exe
05.10.2008  22:14             4.096 hoproxy.dll
05.10.2008  22:14             4.096 VBIEWER.OCX
05.10.2008  22:14             4.096 mwin32.exe
05.10.2008  22:14             4.096 sncntr.exe
05.10.2008  22:14             4.096 hxiwlgpm.exe
05.10.2008  22:14             4.096 hxiwlgpm.dat
05.10.2008  22:14             4.096 taack.dat
05.10.2008  22:14             4.096 taack.exe
05.10.2008  22:14             4.096 ssurf022.dll
05.10.2008  22:14             4.096 msnbho.dll
05.10.2008  22:14             4.096 psoft1.exe
05.10.2008  22:14             4.096 psof1.exe
05.10.2008  22:14             4.096 bsva-egihsg52.exe
05.10.2008  22:14             4.096 medup012.dll
05.10.2008  22:14             4.096 ps1.exe
05.10.2008  22:14             4.096 medup020.dll
05.10.2008  22:14             4.096 mtr2.exe
05.10.2008  22:14             4.096 netode.exe
05.10.2008  22:14             4.096 msgp.exe
05.10.2008  22:14             4.096 h@tkeysh@@k.dll
05.10.2008  22:14             4.096 temp#01.exe
05.10.2008  22:14             4.096 ssvchost.com
05.10.2008  22:14             4.096 ssvchost.exe
05.10.2008  22:14             4.096 dpcproxy.exe
05.10.2008  22:14             4.096 regm64.dll
05.10.2008  22:14             4.096 regc64.dll
05.10.2008  22:14             4.096 msvchost.exe
05.10.2008  22:14             4.096 thun.dll
05.10.2008  22:14             4.096 Rundl1.exe
05.10.2008  22:14             4.096 thun32.dll
05.10.2008  22:14             4.096 newsd32.exe
05.10.2008  22:14             4.096 emesx.dll
05.10.2008  22:14             4.096 vcatchpi.dll
05.10.2008  22:14             4.096 akttzn.exe
05.10.2008  22:14             4.096 anticipator.dll
05.10.2008  22:14             4.096 winsystem.exe
05.10.2008  22:14             4.096 bdn.com
05.10.2008  22:14             4.096 mssecu.exe
05.10.2008  22:14             4.096 WINWGPX.EXE
05.10.2008  22:14             4.096 sysreq.exe
05.10.2008  22:14             4.096 awtoolb.dll
05.10.2008  22:14             4.096 vbsys2.dll

cosinus · 20.11.2008, 19:24

Zitat:

Zitat von gufo

...am 05.10.08 fand die Infektion laut Zeitstempel statt!
folgend die Übersicht, beispiel /System32...

Genau diese Dateien meinte ich. Sieht aber fast so aus, als wär es ein und die selbe Datei nur in verschiedenen namen...naja.

minilu · 20.11.2008, 23:44

puh, ich glaub ich habs geschafft. ComboFix ist durchgelaufen. Das Programm hat meinen Rechner 2 mal neu gestartet, da haute natürlich AntiVir wieder dazwischen, aber ich glaub es hat trotzdem funktioniert. Hier nun das Logfile:

Code:

ATTFilter

 ComboFix 08-11-19.08 - Michael 2008-11-20 23:28:40.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.222 [GMT 1:00]
 * Resident AV is active


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\akl
c:\programme\akl\akl.dll
c:\programme\akl\akl.exe
c:\programme\akl\uninstall.exe
c:\programme\akl\unsetup.exe
c:\programme\Inet Delivery
c:\programme\Inet Delivery\inetdl.exe
c:\programme\Inet Delivery\intdel.exe
c:\temp\1cb
c:\temp\1cb\syscheck.log
c:\windows\a.bat
c:\windows\base64.tmp
c:\windows\bdn.com
c:\windows\Downloaded Program Files\UGA6PU_0001_N120M2910NetInstaller.exe
c:\windows\FVProtect.exe
c:\windows\iTunesMusic.exe
c:\windows\mslagent
c:\windows\mslagent\2_mslagent.dll
c:\windows\mslagent\mslagent.exe
c:\windows\mslagent\uninstall.exe
c:\windows\mssecu.exe
c:\windows\system32\akttzn.exe
c:\windows\system32\anticipator.dll
c:\windows\system32\awtoolb.dll
c:\windows\system32\b3
c:\windows\system32\bdn.com
c:\windows\system32\bsva-egihsg52.exe
c:\windows\system32\dpcproxy.exe
c:\windows\system32\drivers\svchost.exe
c:\windows\system32\drivers\TDSSserv.sys
c:\windows\system32\e1
c:\windows\system32\emesx.dll
c:\windows\system32\h@tkeysh@@k.dll
c:\windows\system32\hoproxy.dll
c:\windows\system32\hxiwlgpm.dat
c:\windows\system32\hxiwlgpm.exe
c:\windows\system32\jjkmp.ini
c:\windows\system32\jjkmp.ini2
c:\windows\system32\mdm.exe
c:\windows\system32\medup012.dll
c:\windows\system32\medup020.dll
c:\windows\system32\msgp.exe
c:\windows\system32\MSINET.oca
c:\windows\system32\msnbho.dll
c:\windows\system32\mssecu.exe
c:\windows\system32\msvchost.exe
c:\windows\system32\mtr2.exe
c:\windows\system32\mwin32.exe
c:\windows\system32\netode.exe
c:\windows\system32\newsd32.exe
c:\windows\system32\pac.txt
c:\windows\system32\ps1.exe
c:\windows\system32\psof1.exe
c:\windows\system32\psoft1.exe
c:\windows\system32\regc64.dll
c:\windows\system32\regm64.dll
c:\windows\system32\Rundl1.exe
c:\windows\system32\smp
c:\windows\system32\smp\msrc.exe
c:\windows\system32\sncntr.exe
c:\windows\system32\ssurf022.dll
c:\windows\system32\ssvchost.com
c:\windows\system32\ssvchost.exe
c:\windows\system32\sysreq.exe
c:\windows\system32\taack.dat
c:\windows\system32\taack.exe
c:\windows\system32\TDSSerrors.log
c:\windows\system32\tdssinit.dll
c:\windows\system32\tdssservers.dat
c:\windows\system32\temp#01.exe
c:\windows\system32\thun.dll
c:\windows\system32\thun32.dll
c:\windows\system32\u4
c:\windows\system32\VBIEWER.OCX
c:\windows\system32\vbsys2.dll
c:\windows\system32\vcatchpi.dll
c:\windows\system32\vvvwa.ini
c:\windows\system32\winlogonpc.exe
c:\windows\system32\winsystem.exe
c:\windows\system32\WINWGPX.EXE
c:\windows\userconfig9x.dll
c:\windows\winsystem.exe
c:\windows\zip1.tmp
c:\windows\zip2.tmp
c:\windows\zip3.tmp
c:\windows\zipped.tmp

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSSERV
-------\Legacy_TDSSSERV


(((((((((((((((((((((((   Dateien erstellt von 2008-10-20 bis 2008-11-20  ))))))))))))))))))))))))))))))
.

2008-11-20 23:35 . 2008-11-20 23:35	54,156	--ah-----	c:\windows\QTFont.qfn
2008-11-20 23:35 . 2008-11-20 23:35	1,409	--a------	c:\windows\QTFont.for
2008-11-20 23:05 . 2008-11-20 23:05	<DIR>	d--------	c:\programme\CCleaner
2008-11-19 13:51 . 2008-11-19 13:52	<DIR>	d--------	c:\programme\Luka
2008-11-04 21:42 . 2008-11-04 21:42	<DIR>	d--------	c:\programme\Avira
2008-11-04 21:42 . 2008-11-04 21:42	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-15 16:10	---------	d-----w	c:\programme\Pingus
2008-11-13 19:47	---------	d-----w	c:\dokumente und einstellungen\Michael\Anwendungsdaten\LimeWire
2008-10-08 18:59	---------	d-----w	c:\dokumente und einstellungen\Michael\Anwendungsdaten\Ahead
2008-10-08 12:13	---------	d-----w	c:\programme\uqbjlwd
2008-10-05 21:14	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\bgtgfkvi
2008-10-05 21:14	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\anupsnin
1999-03-11 17:22	99,840	----a-w	c:\programme\Gemeinsame Dateien\IRAABOUT.DLL
1998-12-09 02:53	70,144	----a-w	c:\programme\Gemeinsame Dateien\IRAMDMTR.DLL
1998-12-09 02:53	48,640	----a-w	c:\programme\Gemeinsame Dateien\IRALPTTR.DLL
1998-12-09 02:53	31,744	----a-w	c:\programme\Gemeinsame Dateien\IRAWEBTR.DLL
1998-12-09 02:53	186,368	----a-w	c:\programme\Gemeinsame Dateien\IRAREG.DLL
1998-12-09 02:53	17,920	----a-w	c:\programme\Gemeinsame Dateien\IRASRIAL.DLL
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2006-03-01 90112]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-09 401491]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-12 7626752]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-12 86016]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-02-03 77824]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-10 185784]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 487424]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2006-07-12 c:\windows\system32\nwiz.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 443968]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
Symantec Fax Starter Edition-Anschluss.lnk - c:\programme\Microsoft Office\Office\1031\OLFSNT40.EXE [1999-03-11 46080]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=

S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);c:\windows\system32\DRIVERS\SE2Ebus.sys [2008-01-17 61600]
S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;c:\windows\system32\DRIVERS\SE2Emdfl.sys [2008-01-17 9360]
S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;c:\windows\system32\DRIVERS\SE2Emdm.sys [2008-01-17 97184]
S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\SE2Emgmt.sys [2008-01-17 88688]
S3 se2End5;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS);c:\windows\system32\DRIVERS\se2End5.sys [2008-01-17 18704]
S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\SE2Eobex.sys [2008-01-17 86560]
S3 se2Eunic;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM);c:\windows\system32\DRIVERS\se2Eunic.sys [2008-01-17 90800]
S4 hpt3xx;hpt3xx; []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{6F0D4E0B-3063-4444-8EE7-DBFCBFA10293} - (no file)
BHO-{B709A88D-562F-4725-9FB9-DA563EAF3A2C} - (no file)
BHO-{E15CB747-FEAE-43A2-B6EB-EAAEB8B74971} - (no file)
Notify-iifecdb - iifecdb.dll


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\0pgk6tua.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-20 23:35:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-20 23:37:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-11-20 22:37:14

Vor Suchlauf: 11 Verzeichnis(se), 113,650,573,312 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 113,594,556,416 Bytes frei

208

minilu · 20.11.2008, 23:56

so, und hier jetzt noch der Link für das Protokoll des Filelistings nach Nr. 7.) (musste doch sicher auch noch gemacht werden, oder ?)

File-Upload.net - listing.txt

Jetzt bin ich aber mal gespannt

Also der Rechner läuft schon mal wieder schneller und die Fehlleitungen beim Googlen sind im Moment auch nicht mehr da. Bin ich etwa geheilt ?

cosinus · 21.11.2008, 20:33

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

folders to delete:
c:\programme\uqbjlwd
c:\dokumente und einstellungen\All Users\Anwendungsdaten\bgtgfkvi
c:\dokumente und einstellungen\All Users\Anwendungsdaten\anupsnin


files to delete:
C:\WINDOWS\Tasks\SA.DAT

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

minilu · 22.11.2008, 18:27

Hallo,

vielen Dank für die schnelle Hilfe. Ich weiß zwar nicht so genau, was ich da mache, aber es funktioniert wirklich gut. Hier der Avenger-Report:

Code:

ATTFilter

 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "c:\programme\uqbjlwd" deleted successfully.
Folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\bgtgfkvi" deleted successfully.
Folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\anupsnin" deleted successfully.
File "C:\WINDOWS\Tasks\SA.DAT" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

werd mich gleich mal an das HijackThis ran machen...

minilu · 22.11.2008, 18:38

so, und hier noch mal das aktuelle HijackThis Logfile. Bin ja mal gespannt...

Code:

ATTFilter

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:07, on 22.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe
C:\Programme\HiJackThis II\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5252 bytes

20.11.2008, 16:10	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	AntiVir findet täglich neue Viren/Trojaner Ja, da sieht man schon einige böse Dateien Bevor wir die jetzt alle manuell löschen: Klappt der Download von Combofix? Wenn nicht, lad Combofix bitte von hier. Ansonsten Anleitung oben. __________________ Logfiles bitte immer in CODE-Tags posten

AntiVir findet täglich neue Viren/Trojaner

Plagegeister aller Art und deren Bekämpfung: AntiVir findet täglich neue Viren/Trojaner