Hallo Trojaner-board User,

da Ihr mir ja schonmal so super geholfen habt, wende ich mich wieder an euch.
Bin momentan echt am verzeifeln. Ich habe mir einen Trojaner eingefangen, keine Ahung wie, da ich echt schon vorsichtig bin was surfen downloads e.t.c. angeht. Außerdem habe ich immer die aktuellsten Updates drauf.

Problem: Heute Morgen mußte ich was nachlesen im inet, doch dazu kam ich net. Denn.. ich öffnete den IE7.. Startseite Google.. gab das ein was suchte und landete auf einer nicht gerade seriösen Seite. Vertippt, dachte ich.. also nochmal.. und wieder das Gleiche Spiel. Dann bin ich sofort raus aus dem Inet, habe AVG angeworfen.. und es fand den Trojaner - Trojaner.FakeAlert. -
ein bekannter Trojaner, wie ich weiß.. aber ich wußte nicht, dass Dieser so hartnäckig ist.
Ich dachte AVG hätte ihn eliminiert... aber dem ist wohl nicht so :-( -
Denn komischerweise kann ich diese Programme -> Spybot, Malwarebytes, Combofix, SpyHunter3- nicht mehr öffnen. Warum auch immer. Das Einzige Program in dieser Richtung was sich noch öffnen lässt ist AVG. Doch AVG findet nun nichts mehr!
Ich habe mir die Registry ein bisschen angeschaut und folgende EXE- Datei per Hand gelöscht --> miesix.exe - Denn die gehört sicher nicht auf den PC.
Dann wollte ich versuchen meine Programme im Abgesicherten Modus zu starten. Es ging nicht, da sich mein PC immer and der Stelle aufhängt, wo man Admin/User Passwörter eingibt. Habe auch versucht das System mit der letzten Konfig zu starten, aber ohne Erfolg.

Hat jemand einen Rat für mich? Wie bekomme ich mein System wieder sauber, ohne es zu reinstallieren?
Mit Combofix kenne ich mich aus, aber es lässt sich ja leider nicht starten

Vielen Dank euch schonmal!!! Ganz Liebe Grüße sendet - Eure KittyCatty

HJ-Log folgt gleich!!!

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:28:32, on 16.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\AVG\AVG8\avgui.exe
C:\Programme\AVG\AVG8\avgscanx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVG\AVG8\aAvgApi.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w**.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://alice.aol.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - h**p://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://w**.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {26FCCDF9-A7E1-452A-A73D-7BF7B4D0BA6C} - h**p://o.aolcdn.com/pictures/ap/Resources/2.0.10.00/cab/aolpPlugins.10.6.0.6.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h**p://w**.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://w**.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2399AD99-7FAC-4EDC-9501-2068F57EE805}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8669 bytes

Also irgendwie kommt mir diese Logfile net ganz sauber vor, aber ich bin ja net so der Profi.
z.B. komisch finde ich folgende:
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C

Und ständig habe ich jetzt die Meldung.. der Explorer hat einen..bla,bla Fehler festgestellt und muss beendet werden. Meist ein Programm mit Google Toolbar. Wenn ich den Inetexplorer öffne. Wundert mich, dass ich diesen Thread schreiben kann.
Denn auf die Seite virustotal. com kann ich leider nict zugreifen

Das hier ist die AVG Logfile mit den Infizierten Datein:

Zitat:

"Scan ""Bestimmte Dateien/Ordner scannen"" wurde beendet."
"Infektionen";"5";"5";"0"
"Für den Scanvorgang ausgewählte Ordner:";"A:\;C:\;C:\DOKUME~1\**~1\LOKALE~1\Temp\;C:\Dokumente und Einstellungen\All Users\Dokumente;C:\Dokumente und Einstellungen\***\Eigene Dateien;C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files;C:\Programme;C:\WINDOWS;C:\WINDOWS\system32;D:\;E:\;F:\;"
"Start des Scans:";"Montag, 16. Februar 2009, 09:59:57"
"Scan beendet:";"Montag, 16. Februar 2009, 11:22:33 (1 Stunde(n) 22 Minute(n) 36 Sekunde(n))"
"Gesamtanzahl gescannter Objekte:";"593779"
"Benutzer, der den Scan gestartet hat:";"***"

"Infektionen"
"Datei";"Infektion";"Ergebnis"
"C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\matrix30980.exe";"Trojaner: FakeAlert.GV";"In Virenquarantäne verschoben"
"C:\RECYCLER\S-9-9-26-100024889-100014602-100032334-9964.com";"Trojaner: FakeAlert.GV";"In Virenquarantäne verschoben"
"D:\RECYCLER\S-9-9-26-100024889-100014602-100032334-9964.com";"Trojaner: FakeAlert.GV";"In Virenquarantäne verschoben"
"E:\RECYCLER\S-9-9-26-100024889-100014602-100032334-9964.com";"Trojaner: FakeAlert.GV";"In Virenquarantäne verschoben"
"F:\RECYCLER\S-9-9-26-100024889-100014602-100032334-9964.com";"Trojaner: FakeAlert.GV";"In Virenquarantäne verschoben"

Hallo,
leider konnte mir immernoch niemand helfen. Deshalb habe ich mich jetzt nochmal ein bisschen im Forum hier umgeschaut. Diese Trojaner-Board Seite ist übrigends die einzige Seite die ich noch öffnen kann -
Habe in meinen Netzwerkeinstellungen Folgende IP's gefunden -->>

85.255.112.39, 85.255.112.40 / Das sind wohl auch die Ukrainischen IP's. Scheint ja momentan ganz schön umher zu gehen.

Ich hoffe es kann mir endlich wer helfen, denn ich brauche meinen PC auch zum arbeiten und mit einem solchen Zeug traue ich mich nicht, meine Arbeiten zu öffnen oder zu bearbeiten.
Ich bekomme auch leider immernoch keine Programme auf. Weder Spybot, Malwarebytes, Combofix, Gmer.. Gmer hatte ich mir von einer Bekannten gestern auf einen USB-Stick ziehen lassen und konnte es auch erfolgreich installieren. Nur starten funktioniert nicht.

Liebe Grüße

Zitat:

Zitat von KittyCatty29

Hallo,
leider konnte mir immernoch niemand helfen. Deshalb habe ich mich jetzt nochmal ein bisschen im Forum hier umgeschaut. Diese Trojaner-Board Seite ist übrigends die einzige Seite die ich noch öffnen kann -
Habe in meinen Netzwerkeinstellungen Folgende IP's gefunden -->>

85.255.112.39, 85.255.112.40 / Das sind wohl auch die Ukrainischen IP's. Scheint ja momentan ganz schön umher zu gehen.

Ich hoffe es kann mir endlich wer helfen, denn ich brauche meinen PC auch zum arbeiten und mit einem solchen Zeug traue ich mich nicht, meine Arbeiten zu öffnen oder zu bearbeiten.
Ich bekomme auch leider immernoch keine Programme auf. Weder Spybot, Malwarebytes, Combofix, Gmer.. Gmer hatte ich mir von einer Bekannten gestern auf einen USB-Stick ziehen lassen und konnte es auch erfolgreich installieren. Nur starten funktioniert nicht.

Liebe Grüße

meine güte, scheint ja wirklich mode zu sein, dieser ukrainische virus.
wieviele davon betroffen sind, ist ja schon unnormal.
bloß, WIE zurhölle schleicht sich dieser virus ein ??

vieeel viel erfolg

Soo.. Malwarebytes bekomme ich nicht zum laufen . Installiert ist es schon eine Weile. Alle Programme die dem Ding auf den Pelz rücken könnten werden geblockt und ich kann sie nicht öffnen. Ausser Hi-J und AVG. Im IE7 bekomme ich nur noch die google Startseite und dieses Forum hier geöffnet.

Edit: gerade habe ich in die Konsole (cmd) den Befehl ipconfig/all eingegeben. Dort steht komischerweise das die Autokonfig. aktiviert ist. *grübel*
Und auf die Netzwerkverbindungen/Einstellungen kann ich nur zugreifen über die Software von Alice(Hansenet).

Hallo KittyCatty29,

Hast Du in Deiner Nähe einen sauberen PC mit Internetschluss rumstehen?

Grüße
45cl3p1u5

Hallo,

ja.. ich habe noch einen 2. PC hier stehen. Der ist auch sauber, habe die DNS-Server-IP gecheckt.
Habe das Programm (F-Secure) per USB-Stick auf den infizierten PC bekommen. Mit den anderen Programmen war dies leider nicht möglich -
Ich lasse gerade einen F-Secure Scan durchlaufen.. hoffe das bringt was.
Habe übrigens schon 2mal eine Exe. Datei Namens "msiexe.exe" per Hand aus der Registry gelöscht. Kommt aber wohl immer wieder und nicht immer an der selben Stelle.

Wenn sich Windows aufgrund eines Viruses nicht mehr starten lässt oder es sich keine Antivirenprogramme installieren lassen, kann man noch die Avira Rescue CD auspacken. Muss aber jedes mal neu geladen werden, da man sonst veraltete Virensignaturen hat.

Der Virus kann dann auch nicht das korrekte Ausführen des Antivirenprogrammes verhindern (außer bei Bootviren).

Grüße
45cl3p1u5

Zitat:

Zitat von 45cl3p1u5

Wenn sich Windows aufgrund eines Viruses nicht mehr starten lässt oder es sich keine Antivirenprogramme installieren lassen, kann man noch die Avira Rescue CD auspacken. Muss aber jedes mal neu geladen werden, da man sonst veraltete Virensignaturen hat.

Der Virus kann dann auch nicht das korrekte Ausführen des Antivirenprogrammes verhindern (außer bei Bootviren).

Grüße
45cl3p1u5

Hallo,
Danke für die schnelle Antwort.
Also der PC lässt sich noch starten, aber nicht im abgesicherten Modus. Es gehen auch sonst alle Programme, ausser sowas wie Gmer, Malwarebytes, Combofix... - F-Secure läuft gerade, aber ich kann schon sehen, das 3 Dateien gefunden wurden - Werde den Scan-Bericht dann hier posten.. dauert aber sicher noch ein bisschen.
Ansonsten werd ich wohl wirklich schonmal die Avira-Rescue-CD downloaden und auf CD bringen.
Ist F-Secure eigentlich ein gutes Programm?

Liebe Grüße und Danke schonmal!

ist wie so vieles Ansichtssache ;-)

meine Ansicht ist ja.

Ist bei Deiner Version auch F-Secure Blacklight dabei?

Wenn nicht, downloaden und laufen lassen!

Zitat:

Zitat von 45cl3p1u5

Ist bei Deiner Version auch F-Secure Blacklight dabei?

Wenn nicht, downloaden und laufen lassen!

Von Blacklight konnt ich jetzt nichts lesen aber bei dem Scan steht dabei ->
scannen: C\D\E\F + System + Rootkits -
Werde aber nochmal Blacklight extra ziehen und veruchen auf den PC zu bekommen.

Der F-Secure Scan war nach 3 Stunden endlich fertig und leider finde ich nirgends eine Log. Habe schon alles durchschaut.. und nichts zu finden - Nach dem Scan hat sich F-Secure sofort geschlossen *grübel* - Gefunden wurde auf jeden Fall 3 Dateien... soviel konnte ich auf jeden Fall noch lesen.

Also... noch ein Scann...

Bevor das wieder 3 Stunden dauert, lass mal Blacklight laufen