Hallo,

ich habe vor kurzem den großen Fehler gemacht, mit meinem USB Stick Daten aus einem Copy Shop nach Hause zu nehmen, woraufhin sich ein ganzer Haufen von Malware auf meinem PC eingeschlichen hat. Avira Antivir Personal hat daraufhin einige Meldungen angezeigt, hier in chronologischer Reihenfolge:


In der Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/VB.htg.1' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Die Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe'
enthielt einen Virus oder unerwünschtes Programm 'BDS/IRC.ZGG.11' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Die Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe'
enthielt einen Virus oder unerwünschtes Programm 'WORM/Autorun.rhv' [worm].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Die Datei 'I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

In der Datei 'C:\WINDOWS\system32\c_146939.nls'
wurde ein Virus oder unerwünschtes Programm 'BDS/Agent.vxa.1' [backdoor] gefunden.
Ausgeführte Aktion: Datei löschen


BDS/Agent.vxa.1 hat sich als besonders hartnäckig erwiesen, das Löschen hat nix gebracht, denn nach dem Neustart des Rechners gab es wieder die selbe Fehlermeldung. „Zugriff verweigern“ war auch nicht erfolgreich, es kam sofort gleiche Meldung. Schließlich habe ich die Datei 'C:\WINDOWS\system32\c_146939.nls' in die Charantäne verschoben, das hat das Problem offenbar gelöst. Seit dem 25.12.08 hat Antivir keine weiteren Probleme angezeigt, aber ich traue dem Frieden nicht so ganz. Ich bekomme seitdem die folgende Fehlermeldung, wenn bei den Netzwerkeinstellungen die LAN-Verbindung deaktiviert ist und der Rechner neu gestartet wird:

„Programmfehler
smc.exe hat Fehler verursacht und wird geschlossen. Starten Sie das Programm neu.
Ein Fehlerprotokoll wird erstellt.“

Smc.exe gehört zur Sygate Personal Firewall. Ich habe von einem anderen Rechner aus alle wichtigen Passwörter abgeändert und vermeide es, mit dem infizierten PC ins Internet zu gehen. Es wäre super, wenn sich mal jemand die HijackThis Logfile ansehen und mir sagen könnte, ob diese Vorsichtsmaßnahme noch nötig ist oder der PC wirklich wieder sauber ist.

Für jegliche Hilfe wäre ich sehr dankbar!!



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37:11, on 02.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\PeerGuardian2\pg2.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.133.131.69:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoriten
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] f:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B08DE6E-D8BD-4166-9BB5-D70226C4EEB8}: NameServer = 192.168.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpcEnum - Unknown owner - C:\WINDOWS\system32\OpcEnum.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/AEAB5~1.92E/LOKALE~1/Temp/msohtmlclip1/01/clip_image001.jpg

--
End of file - 7726 bytes

Zitat:

Ich habe vor kurzem den großen Fehler gemacht, mit meinem USB Stick Daten aus einem Copy Shop nach Hause zu nehmen, woraufhin sich ein ganzer Haufen von Malware auf meinem PC eingeschlichen hat.

Folgendes:

Zitat:

C:\WINDOWS\system32\c_146939.nls

das ist schon übel

das sieht auch nicht gut aus, wenn es denn so war. Auch nicht mehr wirklich nachvollziehbar, da entweder gelöscht oder durch die Verseuchungen verschleiert. Deshalb sparen wir uns auch die Suche und Versuche, sie bei Virustotal hochzuladen:

Zitat:

n der Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/VB.htg.1' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Die Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe'
enthielt einen Virus oder unerwünschtes Programm 'BDS/IRC.ZGG.11' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Die Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe'
enthielt einen Virus oder unerwünschtes Programm 'WORM/Autorun.rhv' [worm].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Die Datei 'I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Zitat:

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

Hast du dir mit NLite ein eigenes Windows gebastelt???

Zitat:

O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/AEAB5~1.92E/LOKALE~1/Temp/msohtmlclip1/01/clip_image001.jpg

Wo haste das denn her???

Zitat:

Ich habe von einem anderen Rechner aus alle wichtigen Passwörter abgeändert und vermeide es, mit dem infizierten PC ins Internet zu gehen

Weise Entscheidung!!!


Fazit:

Dein System ist alles andere als vertrauensvoll. Plattmachen und nach der folgenden Anleitung
NEUAUFSETZEN

Will hier auch nicht genauer erforschen, woher diese derartige Verseuchung tatsächlich stammt.

Viele Grüsse

Björn