Hallo,

Habe seit gestern Probleme mit meinem Rechner. Es fing damit an, dass ich im Internet ein Film runtegeladen habe. Als ich versuchte, den Film zu entpacken, warnte mich Antivir:

http://img502.imageshack.us/img502/3998/iiile5.jpg

Die Meldung kam sehr oft - immer dann, wenn ich versucht habe einen Ordner oder Firefox zu öffnen. Nach dem ich das ganze gefühlte 87865 mal in die Quarantäne verschoben, bzw. gelöscht habe, kam keine Fehlermeldung mehr von seiten Antivir.

Ich versuchte meine Chance mit "Spybot - Search & Destroy" - fürs erste, mit Erfolg!
Gleich 4 Virtumode-Probleme mit unterschiedlichen Einträge wurden mir angezeit - die ich selbstverständlich allesamt beheben ließ.
Das "Problem" ist aber, dass Spybot, nach jedem neustart, die Trojaner wieder findet und sie anzeigt. Die Probleme wurden doch nicht gelöst.

Versuch Nr.3: Trojan Remover

http://img395.imageshack.us/img395/7522/dddby3.jpg
http://img352.imageshack.us/img352/5770/dsfdwu6.jpg

Auch hier: Ohne Erfolg! Die Dinger wollen einfach nicht weg.

AVG 8.0, Ad-Aware.. auch diese Prog.´s konnten mir helfen.


Hijackthis-Log:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\AVG\AVG8\avgscanx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Murat\Eigene Dateien\Eigene Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {046B5E53-D861-41C3-9A3B-F12E40E09D27} - (no file)
O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file)
O2 - BHO: (no name) - {2D2F613D-D7FE-4544-A250-13C0274FF834} - C:\WINDOWS\system32\khfddEuT.dll (file missing)
O2 - BHO: (no name) - {3293F75D-4459-400B-A7D1-2D175A2257B5} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5D09C525-29CE-4ABA-A746-FEF5BE173320} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: {e0aaee7a-e842-c3ca-a4b4-245474a108bb} - {bb801a47-4542-4b4a-ac3c-248ea7eeaa0e} - (no file)
O2 - BHO: (no name) - {D16E23CC-661E-48A6-B0A5-6CC72B6E04A6} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} -
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0C1BFF9-E334-4FD9-B0E0-589F485C0851}: NameServer = 195.50.140.178 195.50.140.114
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O20 - Winlogon Notify: rqRKCspQ - rqRKCspQ.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe


Könnt ihr mir bitte behilflich sein ?

*Push*

So wie es aussieht, bin ich das Ding endlich los.

Weder "Trojan Remover" noch Spybot konnten was finden. Antvir und AVG finden eh nichts.

O20 - Winlogon Notify: rqRKCspQ - rqRKCspQ.dll (file missing) - konnte ich dank HijackThis löschen.

Virtumonde-Eintrag habe ich unter "regit" HKEY_Local_Machine gelöscht.
Ich hoffe, dass auch nach dem Neustart mein Rechner frei von Viren bleibt.


Eine Frage hätte ich aber noch: Welche Programme neben Antivr und Spybot sollte ich noch nutzen?

Wenn man brain.exe (http://brain.yubb.de/) nutzt kannst du nur die Windows Firewall und un Avira benutzen.

Spybot würde ich nicht empfehlen. Falls du jedoch einen auf Befehl Scanner willst dann kannst du Malwarebytes benutzen.

Zitat:

Zitat von Aggro Berlin

Wenn man brain.exe (Brain.exe - Die Rundumlösung für viele Probleme) nutzt kannst du nur die Windows Firewall und un Avira benutzen.

Sagt mir nichts. Was hat es damit aufsich ? Die Webseite klingt nicht gerade seriös.

Zitat:

Zitat von Aggro Berlin

Spybot würde ich nicht empfehlen. Falls du jedoch einen auf Befehl Scanner willst dann kannst du Malwarebytes benutzen.

Danke!

jetzt muss ich lachen Tut mir Leid, aber es soll heisen wenn man sein Gehinr einschaltet und nicht überall OK und auf jede Seite klickt dann hat man auch so gut wie keine Probleme oder man alles runterläd und installiert oder sein System nicht richtig konfiguriert

Hinterher ist man immer schlauer.


Ich lass nochmal Antivir und AVG laufen.. melde mich nochmal.

Lass lieber Malwarebytes laufen.

Wenn du Avira laufen lassen willst dann mit aggressiver Einstellung.
http://www.trojaner-board.de/54192-a...tellungen.html

am besten lass beides laufen und wenn etwas gefunden wurde gebe uns bescheid.

Danke!

Zitat:

Zitat von Aggro Berlin

Lass lieber Malwarebytes laufen.

Malwarebytes Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 124131
Laufzeit: 1 hour(s), 42 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d16e23cc-661e-48a6-b0a5-6cc72b6e04a6} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Zitat:

Zitat von Aggro Berlin

Wenn du Avira laufen lassen willst dann mit aggressiver Einstellung.
http://www.trojaner-board.de/54192-a...tellungen.html

AVG und Avira (ohne aggressiver Einstellung): keine Funde/verdächtige Dateien. (6 Warnungen)
Avira mit aggressiver Einstellung: keine Funde/verdächtige Dateien. (6 Warnungen)


Wie gehts weiter ?

So wie es aussieht, hat Malwarebytes Virtumonde endgültig gelöscht.

Vielen Dank @Aggro Berlin