Hallo!

Ich habe mir anscheinend einen Virus/Trojaner eingefangen, obwohl ich eigentlich sehr vorsichtig im Internet unterwegs bin und Firefox, Thunderbird, NOD32 und Comodo Firewall benutze.

Seit etwa zwei Wochen kommt mir mein System teilweise langsamer vor. Komischerweise gab es beim Spielen von Pro Evolution Soccer aus heiterem Himmel ständige Hänger, für die ich aber Grafik- oder Soundkarte verantwortlich gemacht habe. Beim Surfen mit Firefox kommt immer wieder in unregelmäßigen Abständen die "uhr am Mauszeiger" und das Fenster sieht aus, als ob grade ein anderes Fenster im Vordergrund wäre.
Ich bin aber erst heute darauf gekommen, dass ich es mit einem Trojaner/Virus zu tun habe, als plötzlich einfach so der Internet Explorer geöffnet wurde (Seite: w*w.093.com oder ähnlich, ist auch nicht mehr im Verlauf).

Spybot findet nichts, NOD32 sieht dagegen das frisch installierte Spybot als Virus an:

C:\Programme\Spybot - Search & Destroy\GWHHZQKKBTCKBN.scr - probably unknown NewHeur_PE virus [7]
C:\Programme\Spybot - Search & Destroy\SDFiles.exe - probably unknown NewHeur_PE virus [7]

Kann eigentlich nicht sein, da ich es vom Spybot Download Server auf der offiziellen Seite geladen habe (http://www.spybot.com/de/index.html). Deswegen habe ich das auch nicht gelöscht.

Die letzten Stunden ist nichts passiert auf meinem PC, aber ich will dem Problem auf den Grund gehen. Dafür bräuchte ich allerdings eure Hilfe. Was kann das sein? Wie kann ich dagegen vorgehen?

Mittelfristig werde ich mein System neu aufsetzen, aber fürs erste möchte ich diesen Virus loswerden oder erkennen.

Hier noch mein HiJack Log (jaja, WinXP und IE nicht geupdatet...):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:38:50, on 30.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\COMODO\Firewall\cfp.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\taskmagr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Mozilla Firefox3\firefox.exe
C:\hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [startseite]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Skype Control Class - {9018F6A8-2495-45DF-9F16-C738F8F3C8FF} - C:\WINDOWS\system32\SkypeComm.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG311v3 Smart Wizard.lnk = ?
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: HauppaugeTVServer - Unknown owner - C:\PROGRA~1\WinTV\HCWTVS~1.EXE (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7128 bytes

Hallo Anton T. und

Bitte editiere aktive Links, die unter Umständen zu Seiten mit illegalem/gefährdenden Inhalten führen, damit du niemand anderen in Gefahr bringen kannst!

LG Crusader

Hoppla - das HiJack Log durchgeschaut, aber über den restlichen text nicht nachgedacht. Ist erledigt.

Hallo Anton T.

So nun können wir beginnen:

Alle Punkte nach der Reihe ausführen:

1.) Platform: Windows XP SP2 (WinNT 5.01.2600)...... Es gibt bereits ein aktuellers Service Pack, bitte herunterladen und installieren (siehe meine Signatur)!

2.) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)........ Der ist auch veraltet, bitte den neuen installieren (siehe meine Signatur), auch wenn du ihn nicht gebrauchst!

3.) Bitte folgende Einträge mit HijackThis fixen:

Zitat:

C:\WINDOWS\system32\taskmagr.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Skype Control Class - {9018F6A8-2495-45DF-9F16-C738F8F3C8FF} - C:\WINDOWS\system32\SkypeComm.dll

LG Crusader

Danke!

Gemacht, SP3 kommt dann auch bald drauf.

Aber woran könnte das denn nun liegen? Die Einträge sehen ja jetzt nicht besonders verdächtig aus und ich kann mir auch nicht vorstellen, wie ein Virus o. Ä. auf meine Festplatte gekommen ist.

Hallo Anton T.,

Bitte Service Pack und Internet Explorer installieren, dann machen wir weiter!

3.) Bitte folgende Einträge mit HijackThis fixen:

Zitat:

C:\WINDOWS\system32\taskmagr.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Skype Control Class - {9018F6A8-2495-45DF-9F16-C738F8F3C8FF} - C:\WINDOWS\system32\SkypeComm.dll

Glaub mir die Punkte sind schon genug an Malware!

Fixen nicht vergessen, wenn noch nicht gemacht!

LG Crusader

C:\WINDOWS\system32\taskmagr.exe

taucht nicht zum Fixen auf, nur im Log.

Hallo Anton T.,

1.) Dann bitte ein frisches HijackThis Log posten!

2.) Versteckte Dateien anzeigen lassen (Arbeitsplatz -> Extras -> Ordneroptionen -> Ansicht -> Alle Dateien und Ordner anzeigen -> Hacken setzen)

3.) Download von Malwarebytes' Anti-Malware. Danach installieren und die aktuellen Updates herunterladen. Vollständiger Systemscan auswählen und starten. Sobald der Scan beendet ist, klickst du auf "Ausgewähltes entfernen" und postest das Ergebnis dann hier!

LG Crusader

Danke für deine Hilfe bis hierhin, aber nachdem bei mir offenbar immer neue Viren und Trojaner nachgeladen werden, möchte ich mein System komplett neu aufsetzen und anständig absichern.

Ich will auf keinen Fall irgendwelche Reste von Viren und Trojanern auf meinem PC haben und auf Nummer sicher gehen. Trotzdem danke für die Tipps bis hierhin.

Hallo Anton T.

OK, ganz wie du willst, das Neu aufsetzen ist eben doch die sicherere Variante!

Vergiss aber nicht das Service Pack 3 und den Internet Explorer 7 zu installieren!

Viel Glück!

*PROBLEM GELÖST*

Ich bin die letzten Tage nicht dazu gekommen, mein System neu aufzusetzen und jetzt ist eigentlich alles ruhig. NOD32 und Anti-Malware finden zumindest nichts mehr.

Bin ich halbwegs auf der sicheren Seite, wenn ich die beiden noch die nächsten Tage immer mal wieder laufen lasse und nichts gefunden wird?

IE und Windows sind geupdatet.

Edit: das war grade noch ein Beitrag, wurde aber leider gelöscht.


Puh...

"Problem gelöst" hat er nur geschrieben, weil ich neu aufsetzen wollte.

Ansonsten will ich mich da nicht einmischen. Vielleicht könnte ja noch einer der Experten was dazu sagen...

Hallo Anton T.

Achso, du bist gut, vorher schreibst du, dass du dein System neu aufsetzt und dann auf einmal doch nicht mehr???

Dann mache bitte hier weiter:

1.) Lade dir SUPERAntiSpyware herunter und installiere es. Folge den Anweisungen und poste das entstandene Logfile!

2.) Lade dir bitte den Avast! Virus Cleaner herunter. Starte das Tool mit Administrator Rechte. Scanne deinen Computer und poste anschließend das entstandene Logfile!

3.) Downloade dir CCleaner, installiere ihn und navigiere zu Extras -> Programme deinstallieren -> Als Textdatei speichern.... Das Ergebnis hier posten! Anschließend noch alles bereinigen, wie in der Anleitung beschrieben!