Hallo.

Ich habe mich mit einem "Trojaner Peed Gen" infiziert.

Hier ist der aktuelle HiJackThis!-Log.

Ich habe SDFix bereits durchgeführt.

Auch dieser Log ist angehängt.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:58:07, on 12.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
D:\Programme\Apache2.2\bin\httpd.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Apache2.2\bin\httpd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\VMware\VMware Workstation\vmware-tray.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RocketDock\RocketDock.exe
D:\Programme\Launchy\Launchy.exe
D:\Programme\Apache2.2\bin\ApacheMonitor.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Mozilla Firefox\firefox.exe
D:\Downloads\Tools\Miranda_ME_RC3\Miranda ME RC3\miranda32.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Zend Studio - {95188727-288F-4581-A48D-EAB3BD027314} - d:\PROGRA~1\Zend\ZENDST~2.0\bin\ZENDIE~1.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [vmware-tray] "C:\Programme\VMware\VMware Workstation\vmware-tray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Launchy.lnk = D:\Programme\Launchy\Launchy.exe
O4 - Global Startup: Monitor Apache Servers.lnk = D:\Programme\Apache2.2\bin\ApacheMonitor.exe
O4 - Global Startup: Orbit.lnk = C:\Apps\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: Zend Studio - Debug current page - res://d:\Programme\Zend\ZendStudio-5.5.0\bin\ZendIEToolbar.dll/DebugCurrent.html
O8 - Extra context menu item: Zend Studio - Debug next page - res://d:\Programme\Zend\ZendStudio-5.5.0\bin\ZendIEToolbar.dll/DebugNext.html
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Zend Studio Toolbar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - d:\PROGRA~1\Zend\ZENDST~2.0\bin\ZENDIE~1.DLL
O9 - Extra 'Tools' menuitem: Zend Studio - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - d:\PROGRA~1\Zend\ZENDST~2.0\bin\ZENDIE~1.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O23 - Service: Apache2.2 - Apache Software Foundation - D:\Programme\Apache2.2\bin\httpd.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CVSNT Locking Service 2.5.03.2382 (cvslock) - Unknown owner - C:\Programme\CVSNT\cvslock.exe
O23 - Service: CVSNT Dispatch service 2.5.03.2382 (cvsnt) - March Hare Software Ltd - C:\Programme\CVSNT\cvsservice.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MySQL - Unknown owner - D:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 7288 bytes

Zitat:

SDFix: Version 1.240
Run by XX on 12.01.2009 at 10:49

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\admintxt.txt - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-12 10:53:30
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd50263b]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0009dd50263b]

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Spiceworks\\bin\\spiceworks.exe"="C:\\Programme\\Spiceworks\\bin\\spiceworks.exe:*:Enabled:spiceworks"
"D:\\Downloads\\Tools\\Miranda_ME_RC3\\Miranda ME RC3\\miranda32.exe"="D:\\Downloads\\Tools\\Miranda_ME_RC3\\Miranda ME RC3\\miranda32.exe:*:Enabled:Miranda IM"
"F:\\Portables\\xampp\\mysql\\bin\\mysqld.exe"="F:\\Portables\\xampp\\mysql\\bin\\mysqld.exe:*:Enabled:mysqld"
"F:\\Portables\\xampp\\apache\\bin\\apache.exe"="F:\\Portables\\xampp\\apache\\bin\\apache.exe:*:Enabled:Apache HTTP Server"
"G:\\Documents\\Portable Programs\\Portable-VirtualBox\\app32\\VirtualBox.exe"="G:\\Documents\\Portable Programs\\Portable-VirtualBox\\app32\\VirtualBox.exe:*:Enabled:VirtualBox"
"G:\\Documents\\Portable Programs\\GMX MM\\MESSENGR.EXE"="G:\\Documents\\Portable Programs\\GMX MM\\MESSENGR.EXE:*:Enabled:GMX MultiMessenger"
"D:\\Programme\\miranda\\miranda32.exe"="D:\\Programme\\miranda\\miranda32.exe:*:Enabled:Miranda IM"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"H:\\Portables\\uTorrent\\uTorrent.exe"="H:\\Portables\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"G:\\System\\Apps\\90FE0D3C-A510-4459-AD5F-27D5FEEA3D8F\\Data\\uTorrent.exe"="G:\\System\\Apps\\90FE0D3C-A510-4459-AD5F-27D5FEEA3D8F\\Data\\uTorrent.exe:*:Enabled:æTorrent"
"I:\\System\\Apps\\081488B5-D608-4e05-a1b7-32189923fe76\\Exec\\miranda32.exe"="I:\\System\\Apps\\081488B5-D608-4e05-a1b7-32189923fe76\\Exec\\miranda32.exe:*:Enabled:Miranda IM"
"I:\\System\\Apps\\4F67343B-91F7-4e4b-a07f-41c7a7d2fede\\Exec\\miranda32.exe"="I:\\System\\Apps\\4F67343B-91F7-4e4b-a07f-41c7a7d2fede\\Exec\\miranda32.exe:*:Enabled:Miranda IM"
"I:\\System\\Apps\\9A112082-0833-46f4-b173-6cfd1486182c\\Exec\\uTorrent.exe"="I:\\System\\Apps\\9A112082-0833-46f4-b173-6cfd1486182c\\Exec\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Grizli777\\Adobe Photoshop CS4 beta 01\\4000005700003i\\mDNSResponder.exe"="C:\\Grizli777\\Adobe Photoshop CS4 beta 01\\4000005700003i\\mDNSResponder.exe:*isabled:mDNSResponder"
"I:\\System\\Apps\\6F680A71-F795-4518-9be3-b5ed8634d744\\Exec\\Nimbuzz.exe"="I:\\System\\Apps\\6F680A71-F795-4518-9be3-b5ed8634d744\\Exec\\Nimbuzz.exe:*:Enabled:Nimbuzz"
"D:\\Programme\\Mozilla Firefox\\firefox.exe"="D:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Dokumente und Einstellungen\\***\\temp\\TeamViewer3\\TeamViewer.exe"="C:\\Dokumente und Einstellungen\\***\\temp\\TeamViewer3\\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application"
"I:\\System\\Apps\\21891D73-96DE-4de9-bc81-707176fe0bdd\\Exec\\hl.exe"="I:\\System\\Apps\\21891D73-96DE-4de9-bc81-707176fe0bdd\\Exec\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Programme\\WinPcap\\rpcapd.exe"="C:\\Programme\\WinPcap\\rpcapd.exe:*:Enabled:rpcapd"
"C:\\Programme\\VMware\\VMware Workstation\\vmware-authd.exe"="C:\\Programme\\VMware\\VMware Workstation\\vmware-authd.exe:*:Enabled:VMware Authd"
"I:\\System\\Apps\\90FE0D3C-A510-4459-AD5F-27D5FEEA3D8F\\Data\\uTorrent.exe"="I:\\System\\Apps\\90FE0D3C-A510-4459-AD5F-27D5FEEA3D8F\\Data\\uTorrent.exe:*:Enabled:æTorrent"
"D:\\xampp\\apache\\bin\\apache.exe"="D:\\xampp\\apache\\bin\\apache.exe:*:Enabled:Apache HTTP Server"
"D:\\xampp\\mysql\\bin\\mysqld.exe"="D:\\xampp\\mysql\\bin\\mysqld.exe:*:Enabled:mysqld"
"I:\\Documents\\Portable_Programs\\xampp\\apache\\bin\\APACHE.EXE"="I:\\Documents\\Portable_Programs\\xampp\\apache\\bin\\APACHE.EXE:*:Enabled:Apa che HTTP Server"
"C:\\Dokumente und Einstellungen\\***\\Desktop\\MirandaFusion2.0.2\\Miranda Fusion\\miranda32.exe"="C:\\Dokumente und Einstellungen\\***\\Desktop\\MirandaFusion2.0.2\\Miranda Fusion\\miranda32.exe:*:Enabled:Miranda IM"
"I:\\Documents\\Portable_Programs\\MirandaFusion2.0.2\\Miranda Fusion\\miranda32.exe"="I:\\Documents\\Portable_Programs\\MirandaFusion2.0.2\\Miranda Fusion\\miranda32.exe:*:Enabled:Miranda IM"
"I:\\Documents\\Portable_Programs\\xampp\\mysql\\bin\\mysqld.exe"="I:\\Documents\\Portable_Programs\\xampp\\mysql\\bin\\mysqld.exe:*:Enabled:mysql d"
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"
"D:\\Programme\\Apache2.2\\bin\\httpd.exe"="D:\\Programme\\Apache2.2\\bin\\httpd.exe:*:Enabled:Apache HTTP Server"
"D:\\Programme\\Zend\\ZendStudio-5.5.0\\jre\\bin\\javaw.exe"="D:\\Programme\\Zend\\ZendStudio-5.5.0\\jre\\bin\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary"
"C:\\Dokumente und Einstellungen\\***\\Eigene Dateien\\Miranda\\MirandaFusion2.0.2\\Miranda Fusion\\miranda32.exe"="C:\\Dokumente und Einstellungen\\***\\Eigene Dateien\\Miranda\\MirandaFusion2.0.2\\Miranda Fusion\\miranda32.exe:*:Enabled:Miranda IM"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 17 Sep 2008 88 ..SHR --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\43BF12D923.sys"
Thu 20 Nov 2008 952 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys"
Fri 2 May 2008 3,502,080 A..H. --- "C:\Dokumente und Einstellungen\***\Anwendungsdaten\U3\temp\Launchpad Removal.exe"

Finished!

Hallo, kann mir mal jemand helfen?

Tolles Forum, keine Hilfe :P

Bräuchte genauere Informationen.
Fundort des Virus und Antivirenscanner!

Der Virus hat das gesamte System infiziert.
Mein altes AntiVirenProgramm (Was vom Virus zerschossen wurde):
AntiVir Personal

Mein neues (Was beim scannen nur abstürzt):
PC Tools AntiVirus.

Sobald ich ein Programm installiere wird die Installation abgebrochen, weil der Virus das Programm verändert.

Brauche DRINGEND hilfe.

Ohne genauen Infos kann ich leider nix anfangen.
Malwarebytes benutzen.

Danke.

Ich versuch mal malwarebites zu installieren.

Edit: Fundort des Virus: Überall (Er hängt sich an exedateien)
Edit2: Das war bei AntiVir. Danach habe ich eben SmartScan gemacht bei
Malwarebytes ... und nichts gefunden. Mache jetzt noch einen vollständigen Scan.

Update:

Konnte keineN Virus finden... -.-

Zitat:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1674
Windows 5.1.2600 Service Pack 2

21.01.2009 16:19:15
mbam-log-2009-01-21 (16-19-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 130067
Laufzeit: 42 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Poste doch mal den Scan-Log von Avira Anti-Vir.
*
Benutzt du Punkbuster oder i.ein Online Spiel?

Avira AntiVir ist runter.

Neuinstallation klappt nicht. (Sagt immer checksum ist anders)

Onlinespiele benutz ich nicht.