Hallo,ich habe seit gestern einen Virus auf meinem Rechner.Wie oben beschrieben hat Antivir eine infizierte datei entdeckt und zwar die x.exe und noch eine andere Datei(den Namen des virus weiss ich nicht mehr ich glaube es war irgendwas mit tr).Die beiden daten habe ich vergeblich zulöschen versucht da diese immer wieder erschienen sind habe ich diese daten in den Quarantäneordner von Antivir verschoben.Nun habe ich mehrmals mit diversen Programmen meinen Rechner durchkämmt und Antivir hat nichts mehr entdeckt was mich aber stutzig macht ist das ich im Task Manager eine datei vor findet und zwar "notepads.exe"die "msddll.exe"und die msservice.exe wovon ich stark ausgehe das der letzt genannte Prozess ein Trojaner ist,er ist 4 mal im taskmanager aufgelistet und reproduziert sich immer wieder neu!Ich habe nach den Prozessen gegoogelt und nichts gescheites gefunden zudem ist mein Rechner langsamer als sonst d.h Internetseiten bauen sich extrem langsam auf,oft sogar garnicht.Als startseite habe ich google eingestellt aber meistens ist es so das die seite garnicht erscheint sondern einfach nur eine leere seite zusehen ist ,um mich hier zuregistrieren habe ich mehrmals auf die Links klicken müssen damit ich weitergekommen bin was ziemlich störend ist und mich auch beängstigt.Ich hoffe ihr könnt mir weiter helfen.

Moin Beown und ,

was hat denn Avira gefunden?
Stelle das Logfile von Avira hier rein und poste anschließend
ein HiJackThis-Log.

Logs bitte immer in

HTML-Code:

[CODE][/CODE]

posten.

Gruß
Handball10

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

Moin,

schau mal nach, ob die Dateien noch zufällig im Papierkorb liegen, dann könnten wir sie noch analysieren, was sich dahinter verbirgt.

Wenn ja --> Dateien wiederherstellen (müssten dann unter "C:/Windows/system32/ liegen),
und auf VirusTotal scannen lassen und Ergebnisse posten.

Wenn nicht --> Schaue mal nach der Logdatei von AntiVir und poste sie hier.
Führe anschließend noch einen Vollscan mit Avira und MalwareBytes Anti-Maleware

Bei beiden Programmen bitte die Logfiles posten.

Zu den gefundenen Dateien:
Was ich über Google bspw. zur msddll.exe gefunden habe hört sich nicht grade gut an(Laut threatexpert.com ein IRC-Bot, über den Dritte Vollzugriff auf deinen erhalten können)

PS: Bitte nicht so voreilig mit dem Löschen sein

Gruß
Handball10

Zitat:

Zitat von handball10

Moin,

schau mal nach, ob die Dateien noch zufällig im Papierkorb liegen, dann könnten wir sie noch analysieren, was sich dahinter verbirgt.

Wenn ja --> Dateien wiederherstellen (müssten dann unter "C:/Windows/system32/ liegen),
und auf VirusTotal scannen lassen und Ergebnisse posten.

Wenn nicht --> Schaue mal nach der Logdatei von AntiVir und poste sie hier.
Führe anschließend noch einen Vollscan mit Avira und MalwareBytes Anti-Maleware

Bei beiden Programmen bitte die Logfiles posten.

Zu den gefundenen Dateien:
Was ich über Google bspw. zur msddll.exe gefunden habe hört sich nicht grade gut an(Laut threatexpert.com ein IRC-Bot, über den Dritte Vollzugriff auf deinen erhalten können)

PS: Bitte nicht so voreilig mit dem Löschen sein

Gruß
Handball10

Das h;rt sich ja nicht so berauschend an naja viel 'rger kann mir der Virus nicht bereitet haben(hab ichn ja erst seit gestern).Leider waren die Daten die ich gelöscht habe nicht mehr im papierkorb da ich sie ja mit HijackThis gelöscht habe.

Hier erstmal die Logfile von antivir:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 2. Januar 2009 22:38

Es wird nach 1142177 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Phil
Computername: PHIL-C91FC2A7E0

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24.12.2008 08:20:46
ANTIVIR2.VDF : 7.1.1.60 318976 Bytes 02.01.2009 10:34:06
ANTIVIR3.VDF : 7.1.1.62 2048 Bytes 02.01.2009 10:34:06
Engineversion : 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:56
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 30.12.2008 08:20:57
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 09:41:39
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 30.12.2008 08:20:56
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 30.12.2008 08:20:55
AEHELP.DLL : 8.1.2.0 119159 Bytes 30.12.2008 08:20:51
AEGEN.DLL : 8.1.1.8 323956 Bytes 30.12.2008 08:20:50
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 30.12.2008 08:20:49
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOCUME~1\Phil\LOCALS~1\Temp\a37008e7.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 2. Januar 2009 22:38

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 2. Januar 2009 22:42
Benötigte Zeit: 04:39 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

1964 Verzeichnisse wurden überprüft
98811 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
98810 Dateien ohne Befall
893 Archive wurden durchsucht
1 Warnungen
0 Hinweise

Die Logfile von Malwarebytes folgt gleich.

EDIT
Ohohoho das was ich eben gefunden habe war ziemlich erdrückend:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1597
Windows 5.1.2600 Service Pack 2

02.01.2009 22:50:41
mbam-log-2009-01-02 (22-50-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 60759
Laufzeit: 3 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32 (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysdrv32 (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msddll (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netstats (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msddll (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msddll (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\netstats (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\netstats (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{3520DB26-F4CB-4AA9-8F8C-2A9076361E6A}\RP12\A0001411.sys (Backdoor.Bot) -> No action taken.
C:\System Volume Information\_restore{3520DB26-F4CB-4AA9-8F8C-2A9076361E6A}\RP13\A0001549.sys (Backdoor.Bot) -> No action taken.
C:\System Volume Information\_restore{3520DB26-F4CB-4AA9-8F8C-2A9076361E6A}\RP13\A0002558.sys (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\drivers\sysdrv32.sys (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system\msddll.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system\msservice.exe (Backdoor.Bot) -> No action taken.

moin Beown,

ich glaub, in deinem Fall dürfte es eindeutig sein!

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\drivers\sysdrv32.sys (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system\msddll.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system\msservice.exe (Backdoor.Bot) -> No action taken.
         

dein System ist kompromittiert. Soll heißen: Es ist nicht mehr vertrauenswürdig.

Zitat:

Das hört sich ja nicht so berauschend an naja viel ärger kann mir der Virus nicht bereitet haben(hab ichn ja erst seit gestern).

Der Zeitraum hat dabei eigentlich nichts zu sagen, er brauch nur ne sehr kurz Zeit ausgeführt worden sein und das System ist im Eimer.

Scanne nochmal mit folgenden Tools:

• GMER

Logfile posten und danach:
Absichern und Neuaufsetzen des Systems

Gruß
Handball10

Ist es wirklich so schlimm?Ich dachte jetzt wo ich die viren mit hilfe des Programms entfernt habe könnte ich aufatmen,muss ich denn wirklich mein System neu aufsetzen?Denn war die ganze arbeit ja umsonst.Naja ich geh erstmal schlafen.
Hier noch die Logfile des Programmes von dir:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-02 23:53:25
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT B0BFB734 ZwCreateThread
SSDT B0BFB720 ZwOpenProcess
SSDT B0BFB725 ZwOpenThread
SSDT B0BFB72F ZwTerminateProcess
SSDT B0BFB72A ZwWriteVirtualMemory

---- EOF - GMER 1.0.14 ----

Ja, Neuaufsetzen ist nötig, denn wie du vllt in der Log-Datei gesehen hast, wurden die Dateien alle als "Backdoor.Bot" bezeichnet.

Das "Bot" steht dafür, dass das Ding Eigenschaften/Funktionen hat, womit dein PC fergesteuert werden kann! D.h. dein PC "gehört" nicht mehr dir und auch wenn man die Dateien löschen würde, kann man nicht sichergehen, ob das Backdoorprogramm noch irgendwelche unendeckten Hintertüren eingebaut hat, durch dass wieder Malware hineinkommen kann.

Also, dann schönen Abend noch.

Gruß
Handball