Hallo,

ich habe folgendes Problem. Auf meinem Rechner tauchen ständig diverse Trojaner auf bzw. werden von Antivir gemeldet. Es handelt sich um folgende Trojaner:

TR/Hijacker.Gen
TR/Spy.GEN
TR/Dropper.GEN
TR/Hijack.Explor.307
TR/Rootkit.GEN
TR/Agent.wyi.1
TR/Crypt.XPACK.Gen

Ich schildere mal einen "typischen" Ablauf:

1. Der Rechner wurde direkt nach dem Start mit Antivir untersucht. Gefunden wurden:

TR/Hijacker.Gen windows/system32/rvdecb.dll
TR/Hijacker.Gen windows/system32/rvdecb32.dll
TR/Spy.GEN windows/temp/BN2.tmp
TR/Dropper.GEN windows/temp/gfc4.tmp
TR/Dropper.GEN windows/temp/kfh4.tmp
TR/Hijack.Explor.307 windows/System32/svchost.exe:ext.exe

Die gemeldeten Funde werden gelöscht. Die besagten Dateien sind nach dem Löschen auch tatsächlich verschwunden.

2. Ich führe einen Neustart durch und durchsuche den Rechner erneut. Ergebnis, keine Funde.


3. Ich gehe nun online. Nach ca. 2 min warnt mich der Avira Guard vor folgenden Funden:

TR/Dropper.GEN windows/temp/BN3.tmp
TR/Spy.GEN windows/temp/BN4.tmp
TR/Rootkit.GEN windows/system32/drivers/restore.sys

Ich gehe offline. Die Funde werden gelöscht. Bemerkenswerterweise sind Drooper.GEN und Spy.GEN wieder da, aber in anderen Dateien. Rootkit.GEN ist neu. Nach dem Löschen neuer Check und wieder keine Funde mehr.

4. Ich gehe wieder kurz online und zwar direkt auf die trojaner-board website. Nach ca. 5 Minuten meldet der Avira Guard:

TR/Hijacker.GEN windows/system32/rvdecb.dll
TR/Agent.wyi.1 windows/TEMP/luj6.tmp
TR/Crypt.XPACK.GEN dokumente und Einstellungen/LocalService/..../nws32(1).exe

Die Trojaner kommen also scheinbar immer neu aus dem Internet herunter. Unabhängig von den besuchten Websites. Es sind nicht immer die gleichen Trojaner, aber oft.

Das Betriebssystem ist Windows XP Service Pack 2, geschützt bin ich durch die Firewall Zone Alarm und durch AntiVir. Beides durch updates aktuell gehalten.

Wer weiss Rat?

Hallo,
du hast noch SP2 drauf. Das ist veraltet und stellt eine Gefahr da. ->SP3.
Hast du automatischen Update an?


* aktivieren der "Automatischen Updates", insbesondere das einspielen/installieren des "Service Pack 3 (XP)" und des "Service Pack 1 (Vista)" ist hierbei absolute Pflicht!

Instaliere dir HijackThis und erstelle einen log. Diesen log stellste hier rein.
Diese Log-datein kannst du auch von virustotal (http://www.virustotal.com/de/) auswerten lassen und ebenfalls hier reinstellen.
Dann kann dir schon eher geholfen werden.

Ich habe den Rat befolgt und auf Service Pack 3 upgedatet.

Hier ist das Logfile von HiJackThis:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:07:22, on 11.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Programme\MarkAny\ContentSafer\MAAgent.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\BN2.tmp
C:\Programme\HiJacktThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\Run: [FrameWork 2.5] FrameWork.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SMSTray] C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [MAAgent] C:\Programme\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\Run: [lphc1lvj0eva9] C:\WINDOWS\System32\lphc1lvj0eva9.exe
O4 - HKLM\..\Run: [inrhc5lvj0eva9] C:\WINDOWS\Temp\.tt9.tmp.exe /CR=BF41E8B2D96ED8F141145E40F597DD53012E546B97DF001F57E585574CAD0093793C0DB2ADDB6EE1FABB73A81E43130F75432D819A3D949B559D0D5AE695DE4BDD293C51645EBB54D0423B0F907B03FD96E316EC783AFC
O4 - HKLM\..\Run: [Auto File System Conversion Utility] C:\WINDOWS\system32\wbem\scricon.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\system32\wbem\scricon.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\RunServices: [FrameWork 2.5] FrameWork.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Auto File System Conversion Utility] C:\WINDOWS\system32\wbem\scricon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\system32\wbem\scricon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil9d.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil9d.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: rvdecb - rvdecb.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\System32\svchost.exe:ext.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32\svchost.exe:ext.exe (file missing)
O23 - Service: MSN RAV MSNERSvc (MSNERSvc) - Unknown owner - C:\WINDOWS\System32\adsldpcl.exe (file missing)
O23 - Service: NtmlSvc NtmlSvc RAV (NtmlSvc RAV) - Unknown owner - C:\WINDOWS\System32\actmoviep.exe (file missing)
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6196 bytes
         

Kann damit jemand etwas anfangen?

Danke

Du hast noch den IE6 drauf->IE7!
Du kannst aus eigener Intresse mal deinen Logfile auswerten lassen HijackThis Logfileauswertung, dann siehste wie es um dein System steht. Du wirst sehr viele "ungute" Einträge finden.
Diesen Log kannst du noch bei Vi (einfach die log-datei hochladen) auswerten lassen und hier reinstellen.
Dann sollte die von einem Kompetenzler geholfen werden...

Zitat:

Zitat von Robsen84

Du hast noch den IE6 drauf->IE7!

Ich surfe nicht mit IE sondern mit Mozilla FF3.

Zitat:

Zitat von Robsen84

Du kannst aus eigener Intresse mal deinen Logfile auswerten lassen HijackThis Logfileauswertung, dann siehste wie es um dein System steht. Du wirst sehr viele "ungute" Einträge finden.

Das ist schön, dass ich "viele ungute Einträge finden werde". Aber geholfen ist mir damit leider noch immer nicht, diese zu beseitigen.

Werde aber so vorgehen. Danke

Ich poste nun mal das Ergebnis meiner Lofile-Auswertung von Hijackthis:

schädlich, nicht bekanntes Programm

O4 - HKLM\..\RunServices: [FrameWork 2.5] FrameWork.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe

äußerst schädlich, nicht bekanntes Programm

O4 - HKLM\..\Run: [FrameWork 2.5] FrameWork.exe

sowie einige ubekannte Programme ohne Wertung.

Wie gehe ich nun vor um diese Programme zu entfernen? Um warum wird Antivir damit nicht fertig?

Zitat:

Zitat von mr_black

Ich surfe nicht mit IE sondern mit Mozilla FF3.

Hallöchen!

Du solltest deinen Internet Explorer dennoch immer auf dem aktuellsten Stand halten, da die Windowsupdates über ihn aktualisiert werden. Deswegen sollte der auch auf keinen Fall deinstalliert werden!

Zitat:

Zitat von mr_black

Das ist schön, dass ich "viele ungute Einträge finden werde". Aber geholfen ist mir damit leider noch immer nicht, diese zu beseitigen.

Werde aber so vorgehen. Danke

Dazu solltest du aber wissen, dass diese Logfileauswertung nicht immer korrekt ist, d.h., er übersieht Dinge oder wertet auch mal falsch aus. Du kannst es ja dennoch mal damit versuchen.

Zitat:

Zitat von mr_black

O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe

Hier fehlen wichtige Buchstaben! Da kann man schon von ausgehen, dass das Malware ist. Versuch mal bitte Malwarebytes Antimalware.

An die Kompetenzler: Wenn ich hier einen Fehler mache, bitte sagen!

Zitat:

Zitat von Helena1

Dazu solltest du aber wissen, dass diese Logfileauswertung nicht immer korrekt ist, d.h., er übersieht Dinge oder wertet auch mal falsch aus. Du kannst es ja dennoch mal damit versuchen.

Na dass macht mir ja nicht gerade Mut. Wozu dann der Aufwand?

Zitat:

Zitat von Helena1

Hier fehlen wichtige Buchstaben! Da kann man schon von ausgehen, dass das Malware ist. Versuch mal bitte Malwarebytes Antimalware.

Kann ich tun. Ist Malewarebytes denn "besser" als AntiVir oder warum wird AntiVir trotz Erkennung und Löschung der Trojaner damit nicht fertig?

Zitat:

Zitat von mr_black

Kann ich tun. Ist Malewarebytes denn "besser" als AntiVir oder warum wird AntiVir trotz Erkennung und Löschung der Trojaner damit nicht fertig?

Naja, "besser" kann man vielleicht nicht sagen. Es scheint etwas gründlicher im Systemscan zu sein.

Halte dich bitte genau an die Anleitung, verschiebe das Gefundene in die Quarantäne und denke daran, dass enstandene Logfile hier zu posten!

Aufwand?
Vllt. ist ja noch was zu retten...,vielleicht.
Sollte in deinem Sinne sein.

Lade dir mal folgendes Tool und starte es -> F-Secure Blacklight.
Poste im Anschluss den Inhalt des Reports.

Zitat:

Zitat von Robsen84

Aufwand?
Vllt. ist ja noch was zu retten...,vielleicht.

Hi Robsen84!

Denkst du, Neuaufsetzen wäre hierbei die bessere Lösung?

Edit: Sorry für die Einmischung, werde nur noch stille Leserin sein....

Im Zweifel ja.
Vorher sollte, aber soviel wie es nur geht bereinigt werden.

Dann mache ich das mal und melde mich wieder.

Allerdings hätte ich Malewarebytes doch auch gleich rüberjagen können ohne das ganze Procedere mit HijackThis und dem Posten des Logfiles hier oder?

Zitat:

Zitat von Helena1

Hi Robsen84!
Denkst du, Neuaufsetzen wäre hierbei die bessere Lösung?

Naja, DASS würde ich gerne vermeiden. Wozu denn die diversen Programme und Sicherheitsvorkehrungen (AntiVir, ZoneAlarm, Malewarebytes, Hijackthis etc.) das ständige Posten von irgendwelchen Auswertungsfiles, wenn es am Ende doch nur heißt: Totalkahlschlag?

Sorry bin gerade echt frustriert (nicht über die Ratgeber hier, sondern mein Problem).