BNA.tmp und andere Trojanerteile nicht entfernbar

Sir Hawk · 16.01.2009, 17:25

Hi zusammen,
Ich habe nun seit circa einer Woche Probleme mit der Geschwindigkeit meines Internets, dieses ist sehr langsam geworden. Bei den anderen PCs im Haushalt geht alles normal schnell, es liegt also nicht an der Telekom o.ä. In den letzten 3-4 Tagen stürzen nun auch diverse Prozesse und Programme ab, so das ein Arbeiten mit dem PC überhaupt nicht mehr vernünftig möglich ist. Daraufhin habe ich gestern ein zweites Windows neben dem alten installiert. Die Festplatten habe ich aufgrund der vielen vorhandenen Daten nicht formatiert. Aber auf dem zweiten Windows läuft das Internet z.B. auch langsam. Also habe ich HijackThis einen Scan machen lassen. Dabei fiel mir vor allem die BNA.tpl auf, die ja auch als Teil von Trojanern gilt. Ich habe diese also gefixt, jedoch lässt sich diese auch mit HijackThis nicht so einfach löschen. Hier ist der Logfile, ich hoffe ihr könnt mir helfen

.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:04:20, on 16.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Programme\Bonjour\mDNSResponder.exe
G:\WINDOWS\system32\cisvc.exe
G:\Programme\Java\jre6\bin\jqs.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
G:\Programme\ArcSoft\Magic-i 3\uMgiSvr.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\svchost.exe
G:\Programme\HHVcdV7Sys\VC7SecS.exe
G:\Programme\DynDNS Updater\DynDNS.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\regwiz.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\TEMP\jlv7.tmp
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\Dokumente und Einstellungen\***\B.tmp
G:\WINDOWS\System32\reader_s.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\RTHDCPL.EXE
G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\Programme\FreePDF_XP\fpassist.exe
G:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe
G:\Programme\Java\jre6\bin\jusched.exe
G:\WINDOWS\System32\reader_s.exe
C:\Programme\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
G:\Programme\ASUS WiFi-AP Solo\RtWLan.exe
G:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programme\Opera\opera.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\userinit.exe,G:\WINDOWS\TEMP\init.exe,G:\WINDOWS\system32\regwiz.exe,G:\WINDOWS\system32\actcontroller.exe,G:\WINDOWS\system32\c++.exe,G:\WINDOWS\system32\vmware-ufad.exe,G:\WINDOWS\system32\gcc.exe,G:\WINDOWS\system32\ndetect.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - G:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre6\bin\ssv.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] G:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] G:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Programme\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] G:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SSBkgdUpdate] "G:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] G:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [DNS7reminder] "G:\Programme\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" -r "G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance\NaturallySpeaking9\Ereg.ini
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [FreePDF Assistant] G:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ISUSPM] "G:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [LogonStudio] "G:\Programme\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "G:\Programme\Sony Ericsson\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PromoReg] G:\WINDOWS\TEMP\TMPE.tmp
O4 - HKLM\..\Run: [reader_s] G:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [reader_s] G:\Dokumente und Einstellungen\***\reader_s.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = G:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://G:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - G:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - G:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - G:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - G:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MIC273~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - h**p://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192205933281
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - G:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: zkdxgr - G:\WINDOWS\SYSTEM32\zkdxgr32.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - G:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: DynDNS Updater Service (DynDNS_Updater_Service) - Kana Solution - G:\Programme\DynDNS Updater\DynDNS.exe
O23 - Service: FCI - Unknown owner - G:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - G:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MagicTuneEngine - Unknown owner - G:\Programme\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: MgiSvr - ArcSoft, Inc. - G:\Programme\ArcSoft\Magic-i 3\uMgiSvr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - G:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service:  Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - G:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - G:\Programme\HHVcdV7Sys\VC7SecS.exe

--
End of file - 11442 bytes

Crusader · 16.01.2009, 20:34

Hallo Sir Hawk und

Bevor mit einer eventuellen Bereinigung anfangen, bitte ich dich das hier zu machen:

Zitat:

Windows XP Service Pack 2

Das Service Pack, dass auf deinem Rechner installiert ist, ist nicht mehr aktuell! Service Packs erhöhen die Sicherheit deines Systems, da sie wichtige Sicherheitsupdates enthalten! Um dir das aktuelle Service Pack herunter zu laden, besuche bitte die Hersteller Seite!
Bevor du nun mit der Installation beginnst, solltest du alle deine wichtigen Daten auf einem externen Medium sichern! Danach kannst du beginnen! Zum Schluss den Computer neu starten! Danach postest du ein neues HijackThis Log!

Sir Hawk · 17.01.2009, 14:21

Hi Crusader,
Das mit dem Service Pack habe ich bereits versucht, nachdem dieses die PC Inventur durchführt kommt folgende Fehlermeldung:
Die Datei g:\windows\system32\drivers\ndis.sys ist geöffnet oder wird von einer anderen Anwendung verwendet. Schließen Sie alle anderen Anwendungen, und klicken Sie auf "Wiederholen". Daraufhin habe ich im Task-Manager diverse Prozesse geschlossen, offen blieben nur die Windows Prozesse. Dazu die die automatisch immer wieder starten (ich schätze von dem Virus/Trojaner) also maßenweise svchost.exe (vom System nicht vom Benutzer), BN6.tmp und weitere.

john.doe · 17.01.2009, 14:40

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

G:\WINDOWS\system32\svchost.exe:ext.exe
G:\WINDOWS\SYSTEM32\zkdxgr32.dll
G:\Dokumente und Einstellungen\***\reader_s.exe
G:\WINDOWS\System32\reader_s.exe
G:\WINDOWS\TEMP\TMPE.tmp
G:\Dokumente und Einstellungen\***\B.tmp
G:\WINDOWS\TEMP\jlv7.tmp
G:\WINDOWS\system32\regwiz.exe

Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte sich eine Datei nicht finden lassen, so mache weiter mit der Liste.

ciao, andreas

Sir Hawk · 17.01.2009, 15:26

Hi Andreas

G:\WINDOWS\system32\svchost.exe:ext.exe
Diese habe ich nicht finden können, statt dessen habe ich diese gescannt:
G:\WINDOWS\system32\svchost.exe
Ergebnis:

Code:

ATTFilter

Complete scanning result of "svchost.exe", processed in VirusTotal at 01/17/2009 15:08:37 (CET).

[ file data ]
* name..: svchost.exe
* size..: 14336
* md5...: 65a819b121eb6fdab4400ea42bdffe64
* sha1..: 0dfdee2871427e9c40ec82541156884ff9b4bfa3
* peid..: -

[ scan result ]
a-squared	4.0.0.73/20090117	found nothing
AhnLab-V3	2009.1.15.0/20090117	found nothing
AntiVir	7.9.0.55/20090116	found nothing
Authentium	5.1.0.4/20090116	found nothing
Avast	4.8.1281.0/20090116	found nothing
AVG	8.0.0.229/20090116	found nothing
BitDefender	7.2/20090117	found nothing
CAT-QuickHeal	10.00/20090117	found nothing
ClamAV	0.94.1/20090117	found nothing
Comodo	934/20090117	found nothing
DrWeb	4.44.0.09170/20090117	found nothing
eSafe	7.0.17.0/20090115	found nothing
eTrust-Vet	31.6.6312/20090117	found nothing
F-Prot	4.4.4.56/20090116	found nothing
F-Secure	8.0.14470.0/20090117	found nothing
Fortinet	3.117.0.0/20090115	found nothing
GData	19/20090117	found nothing
Ikarus	T3.1.1.45.0/20090117	found nothing
K7AntiVirus	7.10.594/20090117	found nothing
Kaspersky	7.0.0.125/20090117	found nothing
McAfee	5497/20090116	found nothing
McAfee+Artemis	5497/20090116	found nothing
Microsoft	1.4205/20090117	found nothing
NOD32	3773/20090117	found nothing
Norman	5.93.01/20090116	found nothing
nProtect	2009.1.8.0/20090116	found nothing
Panda	9.5.1.2/20090117	found nothing
PCTools	4.4.2.0/20090117	found nothing
Prevx1	V2/20090117	found nothing
Rising	21.12.52.00/20090117	found nothing
SecureWeb-Gateway	6.7.6/20090116	found nothing
Sophos	4.37.0/20090117	found nothing
Sunbelt	3.2.1835.2/20090116	found nothing
Symantec	10/20090117	found nothing
TheHacker	6.3.1.5.221/20090117	found nothing
TrendMicro	8.700.0.1004/20090116	found nothing
VBA32	3.12.8.10/20090116	found nothing
ViRobot	2009.1.17.1563/20090117	found nothing
VirusBuster	4.5.11.0/20090117	found nothing

[ notes ]
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=65a819b121eb6fdab4400ea42bdffe64
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=65a819b121eb6fdab4400ea42bdffe64

G:\WINDOWS\SYSTEM32\zkdxgr32.dll
Ergebnis:

Code:

ATTFilter

Complete scanning result of "zkdxgr32.dll", processed in VirusTotal at 01/17/2009 15:09:33 (CET).

[ file data ]
* name..: zkdxgr32.dll
* size..: 16896
* md5...: 84750408763db66975e8c72d4e8623a0
* sha1..: a4495b38258b2b606b911af8c3ac9f35fca3587a
* peid..: -

[ scan result ]
a-squared	4.0.0.73/20090117	found nothing
AhnLab-V3	2009.1.15.0/20090117	found nothing
AntiVir	7.9.0.55/20090116	found [TR/Hijacker.Gen]
Authentium	5.1.0.4/20090116	found nothing
Avast	4.8.1281.0/20090116	found nothing
AVG	8.0.0.229/20090116	found nothing
BitDefender	7.2/20090117	found [Trojan.FakeAlert.ABZ]
CAT-QuickHeal	10.00/20090117	found nothing
ClamAV	0.94.1/20090117	found [Trojan.Fakealert-532]
Comodo	934/20090117	found nothing
DrWeb	4.44.0.09170/20090117	found nothing
eSafe	7.0.17.0/20090115	found nothing
eTrust-Vet	31.6.6312/20090117	found nothing
F-Prot	4.4.4.56/20090116	found nothing
F-Secure	8.0.14470.0/20090117	found nothing
Fortinet	3.117.0.0/20090115	found nothing
GData	19/20090117	found [Trojan.FakeAlert.ABZ]
Ikarus	T3.1.1.45.0/20090117	found nothing
K7AntiVirus	7.10.594/20090117	found nothing
Kaspersky	7.0.0.125/20090117	found nothing
McAfee	5497/20090116	found [Cutwail.dll]
McAfee+Artemis	5497/20090116	found [Cutwail.dll]
Microsoft	1.4205/20090117	found [TrojanDownloader:Win32/Renos.AW]
NOD32	3773/20090117	found [a variant of Win32/Injector.CT]
Norman	5.93.01/20090116	found nothing
nProtect	2009.1.8.0/20090116	found [Trojan.FakeAlert.ABZ]
Panda	9.5.1.2/20090117	found nothing
PCTools	4.4.2.0/20090117	found nothing
Prevx1	V2/20090117	found [Cloaked Malware]
Rising	21.12.52.00/20090117	found nothing
SecureWeb-Gateway	6.7.6/20090116	found [Trojan.Hijacker.Gen]
Sophos	4.37.0/20090117	found [Troj/Agent-HNY]
Sunbelt	3.2.1835.2/20090116	found nothing
Symantec	10/20090117	found nothing
TheHacker	6.3.1.5.221/20090117	found nothing
TrendMicro	8.700.0.1004/20090116	found nothing
VBA32	3.12.8.10/20090116	found nothing
ViRobot	2009.1.17.1563/20090117	found nothing
VirusBuster	4.5.11.0/20090117	found [Trojan.FakeAlert.Gen!Pac]

[ notes ]
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6A40529B008D3BF6424100F597A641002AAB454D

G:\Dokumente und Einstellungen\***\reader_s.exe
War nicht vorhanden.

G:\WINDOWS\System32\reader_s.exe
Ergebnis:

Code:

ATTFilter

Ergebnis:
Datei reader_s.exe empfangen 2009.01.17 15:13:24 (CET)
Status:    Beendet 
Ergebnis: 36/39 (92.31%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2009.01.17	Virus.Win32.Cheburgen.a!IK
AhnLab-V3	2009.1.15.0	2009.01.17	Win32/Virut.D
AntiVir	7.9.0.55	2009.01.16	W32/Virut.Gen
Authentium	5.1.0.4	2009.01.16	W32/Virut.9264
Avast	4.8.1281.0	2009.01.16	Win32:Virut
AVG	8.0.0.229	2009.01.16	Win32/Virut
BitDefender	7.2	2009.01.17	Win32.Virtob.Gen.9
CAT-QuickHeal	10.00	2009.01.17	W32.Virut.D
ClamAV	0.94.1	2009.01.17	W32.Virut.si
Comodo	934	2009.01.17	-
DrWeb	4.44.0.09170	2009.01.17	Win32.Virut.5
eSafe	7.0.17.0	2009.01.15	-
eTrust-Vet	31.6.6312	2009.01.17	Win32/Virut.9276
F-Prot	4.4.4.56	2009.01.16	W32/Virut.9264
F-Secure	8.0.14470.0	2009.01.17	Virus.Win32.Virut.n
Fortinet	3.117.0.0	2009.01.15	W32/MetaCrypt.7
GData	19	2009.01.17	Win32.Virtob.Gen.9
Ikarus	T3.1.1.45.0	2009.01.17	Virus.Win32.Cheburgen.a
K7AntiVirus	7.10.594	2009.01.17	Virus.Win32.Virut.Generic
Kaspersky	7.0.0.125	2009.01.17	Virus.Win32.Virut.n
McAfee	5497	2009.01.16	W32/Virut.gen
McAfee+Artemis	5497	2009.01.16	W32/Virut.gen
Microsoft	1.4205	2009.01.17	Virus:Win32/Virut.AK
NOD32	3773	2009.01.17	Win32/Virut.E
Norman	5.93.01	2009.01.16	W32/Virut.D2
nProtect	2009.1.8.0	2009.01.16	Virus/W32.Virut.D
Panda	9.5.1.2	2009.01.17	W32/Virutas.gen
PCTools	4.4.2.0	2009.01.17	Win32.Virut.Gen
Prevx1	V2	2009.01.17	-
Rising	21.12.52.00	2009.01.17	Win32.Virut.aw
SecureWeb-Gateway	6.7.6	2009.01.16	Win32.Virut.Gen
Sophos	4.37.0	2009.01.17	W32/Vetor-A
Sunbelt	3.2.1835.2	2009.01.16	Trojan.Win32.Packed.gen (v)
Symantec	10	2009.01.17	W32.Virut.B
TheHacker	6.3.1.5.221	2009.01.17	W32/Virut.f
TrendMicro	8.700.0.1004	2009.01.16	PE_VIRUT.D-1
VBA32	3.12.8.10	2009.01.16	Virus.Win32.Virut.3
ViRobot	2009.1.17.1563	2009.01.17	Trojan.Win32.Downloader.28672.BPF
VirusBuster	4.5.11.0	2009.01.17	Win32.Virut.Gen
weitere Informationen
File size: 38400 bytes
MD5...: e4c8094f0188d48bc17a149f0ca05a28
SHA1..: 60436e4acb3c4a25cf1464508600ab9b7b745821
SHA256: 19251d997c0aa8c250cac880bdf06fe937a7560763fbabebf062e7d7dd419d9a
SHA512: 8966c4c4d4c4360c3ce33afed587260be15630fc8be547dbdf3ef8066c9ae06c
cbda6d8f34a23a1802136b39de1d5e867a5b95673d5a62dfe9733701163bf68e
ssdeep: 768:YF5fjfg7/GfnBgcyhCavJzjd75Bkd5XD3ULFwKxF:I5LKefnWYCzjFkduLSe
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x409200
timedatestamp.....: 0x4600490f (Tue Mar 20 20:50:23 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x36a 0x400 5.50 e67a94a914647a9e5e77c896b0ac5391
.rsrc 0x2000 0x646c 0x6600 7.98 b11b7748b45b838d2fb32b2ad2f775ba
.reloc 0x9000 0x7200 0x2800 7.70 fd2b2add36ae7c06d2ed48cf9842c4ec

( 2 imports ) 
> KERNEL32.dll: VirtualAllocEx
> ADVAPI32.dll: RegCreateKeyW

( 0 exports )

G:\WINDOWS\TEMP\TMPE.tmp
Nicht vorhanden

G:\Dokumente und Einstellungen\***\B.tmp
Nicht vorhanden

G:\WINDOWS\TEMP\jlv7.tmp
Ergebnis:

Code:

ATTFilter

Complete scanning result of "jlv7.tmp", processed in VirusTotal at 01/17/2009 15:12:14 (CET).

[ file data ]
* name..: jlv7.tmp
* size..: 23040
* md5...: 30dd0e96b116d9364882aa034e9b3b3d
* sha1..: c10734d7f841da499f965d805cb08c7bd78a35d1
* peid..: -

[ scan result ]
a-squared	4.0.0.73/20090117	found [Trojan-Downloader.Win32.Renos!IK]
AhnLab-V3	2009.1.15.0/20090117	found nothing
AntiVir	7.9.0.55/20090116	found [TR/Dropper.Gen]
Authentium	5.1.0.4/20090116	found nothing
Avast	4.8.1281.0/20090116	found [Win32:Trojan-gen {Other}]
AVG	8.0.0.229/20090116	found [Generic12.AONJ]
BitDefender	7.2/20090117	found [Dropped:Trojan.FakeAlert.ABZ]
CAT-QuickHeal	10.00/20090117	found nothing
ClamAV	0.94.1/20090117	found [Trojan.Fakealert-532]
Comodo	934/20090117	found nothing
DrWeb	4.44.0.09170/20090117	found [Trojan.Inject.5416]
eSafe	7.0.17.0/20090115	found nothing
eTrust-Vet	31.6.6312/20090117	found nothing
F-Prot	4.4.4.56/20090116	found nothing
F-Secure	8.0.14470.0/20090117	found [W32/Malware]
Fortinet	3.117.0.0/20090115	found [PossibleThreat]
GData	19/20090117	found [Dropped:Trojan.FakeAlert.ABZ]
Ikarus	T3.1.1.45.0/20090117	found [Trojan-Downloader.Win32.Renos]
K7AntiVirus	7.10.594/20090117	found [Trojan.Win32.Malware.1]
Kaspersky	7.0.0.125/20090117	found [Backdoor.Win32.Hijack.al]
McAfee	5497/20090116	found [Generic Downloader.x]
McAfee+Artemis	5497/20090116	found [Generic Downloader.x]
Microsoft	1.4205/20090117	found [TrojanDownloader:Win32/Renos.AW]
NOD32	3773/20090117	found [probably unknown NewHeur_PE]
Norman	5.93.01/20090116	found [W32/Malware.EZCH]
nProtect	2009.1.8.0/20090116	found [Dropped:Trojan.FakeAlert.ABZ]
Panda	9.5.1.2/20090117	found [Generic Trojan]
PCTools	4.4.2.0/20090117	found nothing
Prevx1	V2/20090117	found [Malicious Software]
Rising	21.12.52.00/20090117	found nothing
SecureWeb-Gateway	6.7.6/20090116	found [Trojan.Dropper.Gen]
Sophos	4.37.0/20090117	found [Troj/Agent-HNY]
Sunbelt	3.2.1835.2/20090116	found nothing
Symantec	10/20090117	found nothing
TheHacker	6.3.1.5.221/20090117	found [Trojan/Downloader.gen]
TrendMicro	8.700.0.1004/20090116	found [TROJ_DLOAD.CAA]
VBA32	3.12.8.10/20090116	found [suspected of Embedded.Backdoor.Win32.Hijack.ai]
ViRobot	2009.1.17.1563/20090117	found nothing
VirusBuster	4.5.11.0/20090117	found [Trojan.FakeAlert.Gen!Pac]

[ notes ]
packers (F-Prot): embedded
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=30dd0e96b116d9364882aa034e9b3b3d
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4C8F7A1800F4FEEE5A860082CA3FCF00943E8753
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=30dd0e96b116d9364882aa034e9b3b3d

G:\WINDOWS\system32\regwiz.exe
Ergebnis:

Code:

ATTFilter

Datei regwiz.exe empfangen 2009.01.17 15:21:44 (CET)
Status:    Beendet 
Ergebnis: 37/39 (94.88%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2009.01.17	Email-Worm.Win32.Mydoom.bj!IK
AhnLab-V3	2009.1.15.0	2009.01.17	Win32/Mydoom.worm.46080
AntiVir	7.9.0.55	2009.01.16	W32/Virut.Gen
Authentium	5.1.0.4	2009.01.16	W32/Virut.9264
Avast	4.8.1281.0	2009.01.16	Win32:Virut
AVG	8.0.0.229	2009.01.16	Win32/Virut
BitDefender	7.2	2009.01.17	Win32.Virtob.Gen.9
CAT-QuickHeal	10.00	2009.01.17	W32.Virut.D
ClamAV	0.94.1	2009.01.17	W32.Virut.ia
Comodo	934	2009.01.17	-
DrWeb	4.44.0.09170	2009.01.17	Win32.Virut.5
eSafe	7.0.17.0	2009.01.15	Win32.Virut.gen
eTrust-Vet	31.6.6312	2009.01.17	Win32/Virut.9276
F-Prot	4.4.4.56	2009.01.16	W32/Virut.9264
F-Secure	8.0.14470.0	2009.01.17	Virus.Win32.Virut.n
Fortinet	3.117.0.0	2009.01.15	W32/Virut.fam
GData	19	2009.01.17	Win32.Virtob.Gen.9
Ikarus	T3.1.1.45.0	2009.01.17	Email-Worm.Win32.Mydoom.bj
K7AntiVirus	7.10.594	2009.01.17	Virus.Win32.Virut.Generic
Kaspersky	7.0.0.125	2009.01.17	Virus.Win32.Virut.n
McAfee	5497	2009.01.16	W32/Virut.gen
McAfee+Artemis	5497	2009.01.16	W32/Virut.gen
Microsoft	1.4205	2009.01.17	Virus:Win32/Virut.AK
NOD32	3773	2009.01.17	Win32/Virut.E
Norman	5.93.01	2009.01.16	W32/Virut.D2
nProtect	2009.1.8.0	2009.01.16	Virus/W32.Virut.G
Panda	9.5.1.2	2009.01.17	W32/Virutas.gen
PCTools	4.4.2.0	2009.01.17	Trojan.Agent.DEL
Prevx1	V2	2009.01.17	-
Rising	21.12.52.00	2009.01.17	Win32.Virut.GEN
SecureWeb-Gateway	6.7.6	2009.01.16	Win32.Virut.Gen
Sophos	4.37.0	2009.01.17	W32/Virut-L
Sunbelt	3.2.1835.2	2009.01.16	Win32.Virut.o (v)
Symantec	10	2009.01.17	W32.Mytob@mm
TheHacker	6.3.1.5.221	2009.01.17	W32/Virut.gen
TrendMicro	8.700.0.1004	2009.01.16	PE_VIRUT.D-4
VBA32	3.12.8.10	2009.01.16	Virus.Win32.Virut.3
ViRobot	2009.1.17.1563	2009.01.17	Win32.Virut.D
VirusBuster	4.5.11.0	2009.01.17	Trojan.Agent.DEL
weitere Informationen
File size: 55808 bytes
MD5...: db42988fd95a19e4fbdf7c781ae6d6ec
SHA1..: 0df471815580c38d8d07a51103cdb8065c2bc4b3
SHA256: f4334e587ee4175ee611983b472fab6b4c33ac39198726345b937c153345375f
SHA512: 39b78fddfbf6c7573470d9d82628888efaa60a3ab6a9c272d47d48c31a0076b2
fcf970ee385be3a5c3d8c96d32f10472c12420fdc91c790365a3a565f34fcfe5
ssdeep: 1536:k+8oHDAbgO0gw/Z0HPAas5vG+dGvH3w/fGzG:kIUb3W0HYa72uwnF
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41b070
timedatestamp.....: 0x46d6fefa (Thu Aug 30 17:31:38 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x10000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x11000 0xb000 0xa400 7.89 10af9197e80fab3979a7535d69271f48
.rsrc 0x1c000 0x8000 0x3200 6.22 a9d52bbbe52dfe299d83f67d0096ca0b

( 4 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> ADVAPI32.dll: RegCloseKey
> USER32.dll: wsprintfA
> WS2_32.dll: -

( 0 exports )

john.doe · 17.01.2009, 15:47

W32/Virut-A Win32-Exe-Dateivirus - Sophos Sicherheitsanalyse

Zitat:

W32/Virut-A ist ein Virus und eine IRC-Backdoor für die Windows-Plattform.

Wenn eine Datei ausgeführt wird, die mit W32/Virut-A infiziert ist, wird der Virus resident im Speicher und versucht, alle ausführbaren Dateien zu infizieren, auf die von Prozessen zugegriffen wird, die im System aktiv sind. W32/Virut-A verbreitet sich auf diese Weise sehr schnell im Dateisystem.

W32/Virut-A versucht außerdem, sich mit einem IRC-Kanal zu verbinden und so als Backdoor zu fungieren, über die ein remoter Angreifer dem System schaden kann.

Verbindung zum Internet trennen, http://www.trojaner-board.de/51262-a...sicherung.html, alle Kennwörter ändern.

ciao, andreas

Sir Hawk · 17.01.2009, 17:26

Eine Reperatur des PCs durch die Entfernung des Eindringlings ist also überhaupt nicht möglich?
Wenn eine Neuinstallation sein muss, muss dann die Festplatte formatiert werden um den Eindringling los zu werden? Ich habe das Problem das ich sehr viele Daten habe, also über 500GB. Diese kann ich nicht auf Wechseldatenträgern o.ä. sichern. Kann ich den Virus/Trojaner trotzdem irgendwie entfernen?

john.doe · 17.01.2009, 17:45

Eine Entfernung ist schon möglich, nur besteht die Möglichkeit, dass ein Mensch Zugang zu deinem Rechner hatte/hat. Was der gemacht hat oder gerade tut ist nicht feststellbar. Da liegt das Problem.

Kennst du denn niemanden, der eine externe Festplatte hat?

ciao, andreas

Sir Hawk · 17.01.2009, 19:16

Ich habe jetzt die Daten auf eine Festplatte eines anderen PCs spielen können (bzw. bin noch beim überspielen). Ich werde den PC jetzt einmal neu installieren usw. und melde mich dann mit neuem HiJack Log damit auch wirklich alles weg ist

.

Vielen Dank bis hierhin!
Schönen Abend noch!

john.doe · 17.01.2009, 19:30

Hole dir vorher das SP3 und brenne es oder packe es auf eine externe Festplatte. Trenne die Verbindung zum Internet. Installiere. Spiel SP3 drauf und erst dann wieder ins Internet.

ciao, andreas

Downloaddetails: Windows XP Service Pack 3

undoreal · 17.01.2009, 19:32

Kleine Anmerkung noch:

Überprüfe die Daten vor dem Wiederaufspielen mit MWAV und 1-2 weiteren Scannern deiner Wahl.

Sir Hawk · 20.01.2009, 21:51

Hi zusammen,
So ich melde mich nun endlich mit dem neuen PC zurück, das SP3 ist installiert (vor dem Internet) sämtliche Updates gezogen usw. Die Dateien habe ich gescannt und tatsächlich waren sämtliche exe Dateien verseucht die ich in letzter Zeit genutzt habe. Diese sind jetzt aber entfernt. Das einzige was mir jetzt noch fehlt ist ein vernünftiger Virenscanner, mit Avira bin ich noch nicht sooo zufrieden.

Vielen Dank für die Hilfe! Jeztt wird alles wieder gut

undoreal · 21.01.2009, 19:34

.exe Dateien solltest du eigentlich garnicht sichern!

Hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..

Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: Avira AntiVir free, Panda, Kaspersky Internet Security Suite oder avast free.
Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
.
Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
.
Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
.
Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
.
Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
.
Das aktuelle ServicePack sollte installiert sein:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
.
Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
.
Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
  Vista_Firewall punktgenau konfigurieren
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
- Sicherheit: -> höchste Stufe
  Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
  und Installation von Desktopobj. -> "Bestätigen".
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
.
Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
.
Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..

17.01.2009, 19:32	#11
undoreal /// AVZ-Toolkit Guru	BNA.tmp und andere Trojanerteile nicht entfernbar Kleine Anmerkung noch: Überprüfe die Daten vor dem Wiederaufspielen mit MWAV und 1-2 weiteren Scannern deiner Wahl. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

BNA.tmp und andere Trojanerteile nicht entfernbar

Log-Analyse und Auswertung: BNA.tmp und andere Trojanerteile nicht entfernbar