Also ihr da draussen ich bin jetzt ganz frisch hier und ich poste den Log von mir und von meiner Freundin weil die dasselbe Problem hat

Zuerst zu mir :
Im Taskmanager ist immer "firefox.exe" aufgeführt obwohl er aus ist. Beendet man ihn manuel mit Prozess beenden oder Prozessstruktur beenden. dann is er für 2 sec weg und dann erscheint ein Prozess : "calculator.exe" die verschwindet schnell und die alte exe "firefox.exe" erscheint wieder.
Mein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:47:07, on 18.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\avgnt.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Razor\razerhid.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Razor\razerofa.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Mote\Desktop\Hjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [DeathAdder] C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Razor\razerhid.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\RunOnce: [*a] C:\WINDOWS\system32\calculator.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [a] C:\WINDOWS\system32\calculator.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Dokumente und Einstellungen\Mote\Eigene Dateien\Programme\Avira\Avira Premium Security Suite\avesvc.exe

--
End of file - 6216 bytes


Zu meiner Freundin:
Eigentlich dasselbe außer wenn sie den Prozess "Firefox.exe" beendet dann komm ein systemfehler und zwar :
C:\Dokumente&Einstellungen\etc...\Calculator.exe
konnte nicht gefunden werden, dennoch wird die "firefox.exe erneut aufgeführt.
Ihr Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:51:30, on 18.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Firefox\firefox.exe
D:\Programme\VLC\vlc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.2.0.7\IPSBHO.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programme\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4606 bytes


Bitte um eure Hilfe, ihr schafft das ich glaub an euch =)

Moin,

such mal bitte calculator.exe und firefox.exe auf deinem PC (können vielleicht mehrmals drauf sein). Es muss ein Hacken bei "alle Ordner und Dateien Anzeigen" sein.

Lad alle Dateien nach einander auf Virustotal.com hoch. Poste die Logs.

Also ich habe 2 mal Firefox.exe einmal die normale und einmal die .pf datei "FIREFOX.EXE-038CBE77.pf"


Die logs dazu :
Firefox.exe :
File size: 307704 bytes
MD5...: 8da0a66cb74fcbb393038e37e0f691ba
SHA1..: d2a281e7137101e40fbdca6989a257ddc753bc92
SHA256: 12c7ecab351afae4541577c76316fceee5677eb1bcd7a0568d3458ba81bd9fe1
SHA512: 4615b89188b67bc05b6ef1224582dc0d0a76e6598136c562eaa33fbef10b826a
87a2d32450c530856058c90c3ceb091821a5627dc84bfec0ba9dd73f6a264071
ssdeep: 6144:7+DEXE1Vxo8ISv+CgLNWLEXE1Vxo8ISv:7+Tjxo8ISXgJW7jxo8IS
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4015a0
timedatestamp.....: 0x4934ead8 (Tue Dec 02 07:59:20 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xe65 0x1000 5.84 61ff7a46d805784c3bae321e1cb2756a
.rdata 0x2000 0x956 0xa00 4.87 80e731220ab0922d1be3ef9b26bc2e68
.data 0x3000 0x384 0x200 0.35 514935a309cd6ea6d2ab5a7a848d5744
.rsrc 0x4000 0x47530 0x47600 6.23 f10f5993312b1a5c0a84815ab7db62b0
.reloc 0x4c000 0x506 0x600 2.39 6f0ce7b6be049787745d15d90be5ef91

( 7 imports )
> xul.dll: XRE_main, XRE_GetBinaryPath, XRE_FreeAppData, XRE_GetFileFromPath, XRE_CreateAppData
> xpcom.dll: NS_LogInit, NS_CStringContainerFinish, NS_CStringContainerInit2, NS_LogTerm
> nspr4.dll: PR_GetEnv, PR_smprintf_free, PR_SetEnv, PR_smprintf
> plc4.dll: PL_strcasecmp
> USER32.dll: MessageBoxA
> MOZCRT19.dll: _crt_debugger_hook, _controlfp_s, _invoke_watson, _except_handler4_common, _decode_pointer, _onexit, _lock, __2@YAPAXI@Z, _vsnprintf, __3@YAXPAX@Z, wcslen, _amsg_exit, __wgetmainargs, _cexit, _exit, _XcptFilter, exit, __winitenv, _initterm, _initterm_e, _configthreadlocale, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, _encode_pointer, __set_app_type, _terminate@@YAXXZ, _unlock, __dllonexit
> KERNEL32.dll: IsDebuggerPresent, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, SetUnhandledExceptionFilter, InterlockedCompareExchange, Sleep, InterlockedExchange

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=8da0a66cb74fcbb393038e37e0f691ba' target='_blank'>http://www.threatexpert.com/report.aspx?md5=8da0a66cb74fcbb393038e37e0f691ba</a>


der .pf Log :
AVG 8.0.0.229 2009.01.18 -
Prevx1 V2 2009.01.18 -
weitere Informationen
File size: 84206 bytes
MD5...: 3c884250b7ea38841c3ba8a8b7fa1860
SHA1..: 818ee4500c344b72b4de094d070fc213c33d3f8e
SHA256: e0a1103ea9fc0f7b767c9f8d8f8c2f8504853e2563729e143de24fd7c6ccd551
SHA512: ac795cfbfcc60e2f73936b98bfe8e2dce786137d835b61a51e42738353f2a1cf
3ece437e1fa12387f036291f292d0814c6f3ad4f33c2c8dc2d925a0b6c110208
ssdeep: 768:aM4YrtixThCEkBYevC0oE2UlXdKq0X+iFdn/Dlt2aS9MHfktvZMy83xibPP:
b4Yrt0oEkNZtXlXd6+KnroiOxx80bX
PEiD..: -
TrID..: File type identification
Microsoft Windows XP Prefetch file (98.9%)
LTAC compressed audio (v1.71) (1.0%)
PEInfo: -

Bei calculator genau dasselbe nur diese 2 die eine EXE und die PF
die logs dazu von Virustotal:

calculator.exe:
ntivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.18 BehavesLike.Win32.ProcessHijack!IK
AhnLab-V3 2009.1.15.0 2009.01.17 Win-Trojan/Buzus.61802
AntiVir 7.9.0.57 2009.01.18 TR/Dropper.Gen
Authentium 5.1.0.4 2009.01.17 W32/TrojanX.AYJQ
Avast 4.8.1281.0 2009.01.16 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.18 Generic11.OK
BitDefender 7.2 2009.01.18 Trojan.Buzus.BH
CAT-QuickHeal 10.00 2009.01.17 Win32.VirTool.Injector.gen!B.3
ClamAV 0.94.1 2009.01.18 Trojan.Buzus-1494
Comodo 935 2009.01.18 -
DrWeb 4.44.0.09170 2009.01.18 Trojan.MulDrop.27664
eSafe 7.0.17.0 2009.01.18 -
eTrust-Vet 31.6.6312 2009.01.17 Win32/CInject.J
F-Prot 4.4.4.56 2009.01.17 W32/TrojanX.AYJQ
F-Secure 8.0.14470.0 2009.01.18 Trojan.Win32.Buzus.mex
Fortinet 3.117.0.0 2009.01.15 PossibleThreat
GData 19 2009.01.18 Trojan.Buzus.BH
Ikarus T3.1.1.45.0 2009.01.18 BehavesLike.Win32.ProcessHijack
K7AntiVirus 7.10.594 2009.01.17 Backdoor.Win32.Bandok.AAA
Kaspersky 7.0.0.125 2009.01.18 Trojan.Win32.Buzus.mex
McAfee 5498 2009.01.17 BackDoor-CSN
McAfee+Artemis 5498 2009.01.17 BackDoor-CSN
Microsoft 1.4205 2009.01.18 VirTool:Win32/Injector.gen!B
NOD32 3774 2009.01.17 -
Norman 5.93.01 2009.01.16 W32/Bandok.AAA
nProtect 2009.1.8.0 2009.01.16 Trojan/W32.Buzus.184875
Panda 9.5.1.2 2009.01.18 -
PCTools 4.4.2.0 2009.01.18 -
Prevx1 V2 2009.01.18 Malicious Software
Rising 21.12.62.00 2009.01.18 -
SecureWeb-Gateway 6.7.6 2009.01.18 Trojan.Dropper.Gen
Sophos 4.37.0 2009.01.18 -
Sunbelt 3.2.1835.2 2009.01.16 Trojan.Win32.Buzus.mex
Symantec 10 2009.01.18 Trojan Horse
TheHacker 6.3.1.5.222 2009.01.17 Trojan/Buzus.xgu
TrendMicro 8.700.0.1004 2009.01.16 -
VBA32 3.12.8.10 2009.01.17 Trojan.Win32.Buzus.mgy
ViRobot 2009.1.17.1563 2009.01.17 -
VirusBuster 4.5.11.0 2009.01.18 -
weitere Informationen
File size: 61802 bytes
MD5...: c38f7e1c56a0c5f5b0e258e937d28985
SHA1..: 1df38b151b57a791005c689ab45c445fe3eb5eb9
SHA256: a5104659931182575d0366e3d872ae8e3504f85175b9d11fa51d681c96177492
SHA512: 93fcd1cecdca7a22a1a692b36f154de3a8b57f8f0ac44b1e6d445ced36e88bb8
6c457d4244aa0a9ca82ffb5953bbb7a04b1cc680f2561b342b45f174492f5ea1
ssdeep: 1536:MYrs4yPoTCAyjaQodV3/mXz+VW/ZjtHFREmwI:rOPK7yjTmV4SGNtEE
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402bc6
timedatestamp.....: 0x487cfab3 (Tue Jul 15 19:29:55 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1d5c 0x1e00 5.89 8b2cae05280d0c9df0f4241fcc44b6cd
.rdata 0x3000 0x224 0x400 2.82 6100e16cb8b970a7371cf559e33a15a5
.data 0x4000 0x3d4 0x400 5.40 d6950240c28a898bbfd171c26f6894c2

( 2 imports )
> MSVCRT.dll: strcpy, strcmp, _exit, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, strcat, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, strlen, __setusermatherr, memset
> KERNEL32.dll: GetModuleHandleA, GetStartupInfoA

( 0 exports )


Die calculator.pf
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.18 -
AhnLab-V3 2009.1.15.0 2009.01.17 -
AntiVir 7.9.0.57 2009.01.18 -
Authentium 5.1.0.4 2009.01.17 -
Avast 4.8.1281.0 2009.01.16 -
AVG 8.0.0.229 2009.01.18 -
BitDefender 7.2 2009.01.18 -
CAT-QuickHeal 10.00 2009.01.17 -
ClamAV 0.94.1 2009.01.18 -
Comodo 935 2009.01.18 -
DrWeb 4.44.0.09170 2009.01.18 -
eSafe 7.0.17.0 2009.01.18 -
eTrust-Vet 31.6.6312 2009.01.17 -
F-Prot 4.4.4.56 2009.01.17 -
F-Secure 8.0.14470.0 2009.01.18 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.18 -
Ikarus T3.1.1.45.0 2009.01.18 -
K7AntiVirus 7.10.594 2009.01.17 -
Kaspersky 7.0.0.125 2009.01.18 -
McAfee 5498 2009.01.17 -
McAfee+Artemis 5498 2009.01.17 -
Microsoft None 2009.01.18 -
NOD32 3774 2009.01.17 -
Norman 5.93.01 2009.01.16 -
nProtect 2009.1.8.0 2009.01.16 -
Panda 9.5.1.2 2009.01.18 -
PCTools 4.4.2.0 2009.01.18 -
Prevx1 V2 2009.01.18 -
Rising 21.12.62.00 2009.01.18 -
SecureWeb-Gateway 6.7.6 2009.01.18 -
Sophos 4.37.0 2009.01.18 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.18 -
TheHacker 6.3.1.5.222 2009.01.17 -
TrendMicro 8.700.0.1004 2009.01.16 -
VBA32 3.12.8.10 2009.01.17 -
ViRobot 2009.1.17.1563 2009.01.17 -
VirusBuster 4.5.11.0 2009.01.18 -
weitere Informationen
File size: 50584 bytes
MD5...: f763b994ae60b79eaa857f17e8bc05d1
SHA1..: fa18aa050880cf911e19434e0e02ad1cfcaeaf57
SHA256: 3cb1811e62e1895f5e8407a7d6067955f223dd5e8cfe886c11702e9508fc9179
SHA512: 9bf9462e3a82cb6893dec5d37b1003607f1914907908731dba5f2d8aad60921b
e05e313f1c83a2af7480b18e0b099969b3ba082a4c0f9f74cb318fb40444502c
ssdeep: 1536:ytBKkq0JfkR7dX/gxy+XZ+LC1MzYPphIgvon:ytdDcB1YxlZaaXhhD
PEiD..: -
TrID..: File type identification
Microsoft Windows XP Prefetch file (98.9%)
LTAC compressed audio (v1.71) (1.0%)
PEInfo: -



Bei meiner freundin is eig das gleich....
Danke schonmal für die schnelle Hilfe

OK.

Scan dein PC mit Malwarebytes und stell das Log hier rein.
Lass auch mal dein Antiviren Programm komplett durchlaufen.

Also es is so ich hab Firewall neu gemacht Virenprog neu gemacht logscherweise ohne inet =)

So durchlaufen lassen und er findet ihn auch :
"TR/Dropper.GEN" - calculator.exe

So im agesicherten Modus kann ich ihn nicht löschen...

Egal wo, ob Regedit , Autostart , MSCONFIG wo ich ihn auch rausnehm der haken z.b im autostart bei msconfig kommt nicht einfach wieder rein nach dem neustart , viel schlimmer er reggt sich neu und trägt sich neu in die Autostart liste ein. d.h jedesmal wenn ich ihn deaktivier dann kommt sofort nach dem neustart ein neuer Eintrag.Genauso im Viren Prog wenn ich ihn in die Quarantäne Verschiebe, er ist jetzt schon 10mal da drin...

Ich habe nun die möglichkeit wenn das VirenProg ihn findet löschen, Verweigern etc... egal was ich mach er reggt / installt sich neu und das Virenprogramm findet ihn logsicherweise erneut... und es geht unendlich so weiter, ich denk es es handelt sich um 2 prozesse die sich gegenseitig absichern.

In der Firewall kann ich ihn zwar blocken(Datei Selber und Zugriff auf das Inet) aber bringt nichts wenn ich die FF.exe blocke - weil ich denke er benutzt halt FF um hintenrum ins inet zu gehen - dann kann ich logischerweise meinen Browser nicht mehr benutzen.

Bitte tut was ^^ ich will nich formatiern habe echt keine lust dazu =)

In diesem Sinne

Scan dein PC mit Malwarebytes und stell das Log hier rein.

Halli hallo.

Ein Anmerkung vorweg:

Bitte nur einen PC pro Thread behandeln! Sonst steigt da niemand mehr durch.

Die weiteren Scans kannst du dir sparen.
Bei dir und deiner Freundin läuft ein SdBot. Der ist sehr gefährlich!

Trenne beide Rechner umgehend physikalisch vom Internet! => LAN-Stecker ziehen bzw. einfach den Router aus der Steckdose ziehen.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..

• Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: Avira AntiVir free, Kaspersky oder avast free.
  Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
  .
• Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
  .
• Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
  .
• Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
  .
• Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
  .
• Das aktuelle ServicePack sollte installiert sein:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
  .
• Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
    Vista_Firewall punktgenau konfigurieren
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
    und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
  .
• Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
  .
  Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..

Also ich danke dir erstmal vielmals für die Ausführliche Antwort =)

Also so nebenbei hier das Logfile von Malwarbytes :
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1666
Windows 5.1.2600 Service Pack 3

19.01.2009 13:14:28
mbam-log-2009-01-19 (13-14-25).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 113699
Laufzeit: 1 hour(s), 14 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{b6a807n6-42df-4w02-93e5-b156b3fa8al1} (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\calculator.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{877A1E2E-E199-4C89-A74D-7A27FF851381}\RP130\A0029299.exe (Backdoor.SDBot) -> No action taken.


und das Logfile von MBR.exe
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Nachdem Scan und dem erneuten enfernen aus der Reg...
Habe ich auch nach dem 3ten Neustart die Calculator.exe weder gefunden noch wurde ein Virenprog euneut allamiert noch wird sie im Taskmanger aufgeführt d.h ich glaube alles ist wieder normal oder habe ich etwas übersehen weil der MBR scheint auch sauber zu sein, falls ich mich täusche gebt mir bescheid aber sagt mir bitte auch in jedem Fall was los is ob alles Sauber is oder wiegesagt ich mich täusche.
Sonst unternehm ich nix mehr und warte und warte und es kommt nix mehr =)

In diesem Sinne vielen vielen dank an euch

Der MBR ist sauber.

Die Rechner sind nicht mehr zu retten!

Setzte beide nach Anleitung neu auf!

http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html

Wie versteh ich da was falsch wenn er sauber ist, ist doch alles ok oder net ??

Der MBR ist sauber. Das heisst nur dass der Virus nicht dort liegt. Aktiv ist er trotzdem. Darum musst du den Rechner formatieren.