Hi,
nachdem ich bei ***://forum.chip.de/viren-trojaner-wuermer/ keinen Erfolg hatte und durch googlen und hier im Forum noch auf keine brauchbaren Informationen getroffen bin, wollte ich hier mal ein Thema mit meinem Problem eröffnen, in der Hoffnung, jemand von euch weiß weiter.

Der erste Trojanerfund auf meinem Rechner, der mich bisher nur daran hindert e-mail adressen und online banking zu vollführen, kam am Donnerstag.
AVG entdeckte diesen Trojaner durch windows\explorer.exe. Die infeszierte Datei: windows\msacm32.drv
Diese Datei ließ sich mit AVG kurzzeitig entfernen, kam allerdings immer wieder und die Meldungen von AVG häuften sich. AVG gab dazu diese Meldung: Trojan horse Generic12.BSVG
Danach durchsuchte ich mit AVG den ganzen Rechner und fand einige Trojan horse Generic12.BSVG.dropper, deren Pfad und Datei so aussahen:
Lokale Einstellungen\Temp\(nen haufen Zahlen).exe
Diese ließen sich einwandfrei mit AVG entfernen.
Ich ließ Ad-Aware 2008 durchlaufen, keine Meldungen.
Die Datei(msacm32.drv) konnte ich auch nicht bei Virustotal.com hochladen oder kopieren.

Die logs zu dem Zeitpunkt (ich hab allerdings alle außer HijackThis der folgenden Programme zum scannen erst nach dem Fund installiert! )
Mit mbam habe ich nichts unternommen, da ich gelesen habe, dass ich mir damit schnell mein System zerschießen kann. mbam hat auch 2 infeszierte Schlüssel gefunden.

Code: Alles auswählenAufklappen

ATTFilter

---------------------- Hijackthis logfile: ---------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13:11, on 20.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
F:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
F:\WINDOWS\system32\IoctlSvc.exe
F:\WINDOWS\System32\TUProgSt.exe
F:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\CtrlSvc.exe
F:\PROGRA~1\AVG\AVG8\avgemc.exe
F:\PROGRA~1\AVG\AVG8\avgrsx.exe
F:\Programme\AVG\AVG8\avgcsrvx.exe
F:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
F:\PROGRA~1\AVG\AVG8\avgtray.exe
F:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\cpnptool.exe
C:\Programme\Winamp\winamp.exe
F:\PROGRA~1\AVG\AVG8\avgnsx.exe
F:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\HJT\Hijachis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***//start.qip.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***//go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***//go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***//go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***//go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - F:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVG8_TRAY] F:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - Global Startup: Sitecom WC - WL-162 (ZD1211B).lnk = F:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\cpnptool.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://F:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - F:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - F:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ***.update.microsoft.com/wind...?1234270998890
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - ***.update.microsoft.com/micr...?1182682492890
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - ***//fpdownload.macromedia.com/pu...sh/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - F:\Programme\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - F:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - F:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - F:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - F:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxbs_device - Lexmark International, Inc. - F:\WINDOWS\system32\lxbscoms.exe
O23 - Service: NMIndexingService - Nero AG - F:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - F:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - F:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - F:\WINDOWS\System32\TUProgSt.exe
O23 - Service: UPnPService - Magix AG - F:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: WZCControlingService - Unknown owner - F:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\CtrlSvc.exe

--
End of file - 6594 bytes

------------------------------------------- mbam -----------------------------------------

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1780
Windows 5.1.2600 Service Pack 2

20.02.2009 17:59:19
mbam-log-2009-02-20 (17-59-10).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 145284
Laufzeit: 41 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\WINDOWS\msacm32.drv (Trojan.Agent) -> No action taken.

---------------------------- blacklight -------------------------
nix gefunden

02/20/09 18:05:43 [Info]: BlackLight Engine 2.2.1092 initialized
02/20/09 18:05:43 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/20/09 18:05:43 [Note]: 7019 4
02/20/09 18:05:43 [Note]: 7005 0
02/20/09 18:05:45 [Note]: 7006 0
02/20/09 18:05:45 [Note]: 7011 1624
02/20/09 18:05:45 [Note]: 7035 0
02/20/09 18:05:45 [Note]: 7026 0
02/20/09 18:05:45 [Note]: 7026 0
02/20/09 18:05:46 [Note]: FSRAW library version 1.7.1024
02/20/09 18:05:51 [Note]: 2000 1012
02/20/09 18:08:44 [Note]: 7007 0

---------------------------- catch me ----------------------------

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
MER 1.0.14.14536 - ***.gmer.net
Rootkit scan 2009-02-20 19:04:10
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwCreateKey [0xF848C0B0]
SSDT sptd.sys ZwEnumerateKey [0xF8491A92]
SSDT sptd.sys ZwEnumerateValueKey [0xF8491E20]
SSDT sptd.sys ZwOpenKey [0xF848C090]
SSDT sptd.sys ZwQueryKey [0xF8491EF8]
SSDT sptd.sys ZwQueryValueKey [0xF8491D78]
SSDT sptd.sys ZwSetValueKey [0xF8491F8A]

---- Kernel code sections - GMER 1.0.14 ----

? F:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F816362C 5 Bytes JMP 824185F0
? System32\Drivers\a3txh9d6.SYS Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Winamp\winamp.exe[2684] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 019FA68D C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[2684] USER32.dll!GetScrollInfo 7E370DA2 7 Bytes JMP 019FA615 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[2684] USER32.dll!ShowScrollBar 7E37F2B3 5 Bytes JMP 019FA711 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[2684] USER32.dll!GetScrollPos 7E37F6C4 5 Bytes JMP 019FA63D C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[2684] USER32.dll!SetScrollPos 7E37F710 5 Bytes JMP 019FA6B8 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[2684] USER32.dll!GetScrollRange 7E37F747 5 Bytes JMP 019FA662 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[2684] USER32.dll!SetScrollRange 7E37F95B 5 Bytes JMP 019FA6E3 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[2684] USER32.dll!EnableScrollBar 7E3B7DDD 7 Bytes JMP 019FA5ED C:\Programme\Winamp\Plugins\gen_jumpex.dll

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F848CAB4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F848CBFA] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F848CB7C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F848D728] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F848D5FE] sptd.sys
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F849FC5A] sptd.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 825D61E8
Device \FileSystem\Fastfat \FatCdrom 81FD2980

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Ip ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)

Device \Driver\usbuhci \Device\USBPDO-0 82428980
Device \Driver\PCI_NTPNP1108 \Device\00000044 sptd.sys
Device \Driver\usbuhci \Device\USBPDO-1 82428980
Device \Driver\usbuhci \Device\USBPDO-2 82428980
Device \Driver\usbuhci \Device\USBPDO-3 82428980
Device \Driver\usbehci \Device\USBPDO-4 82422980

AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)

Device \Driver\Ftdisk \Device\HarddiskVolume1 8256A1E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8256A1E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{6A437AA6-9656-4538-AE81-99C6F705E221} 8221A980
Device \Driver\Cdrom \Device\CdRom0 8241A398
Device \Driver\Cdrom \Device\CdRom1 8241A398
Device \Driver\Ftdisk \Device\HarddiskVolume3 8256A1E8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-1b 825D71E8
Device \Driver\atapi \Device\Ide\IdePort0 825D71E8
Device \Driver\atapi \Device\Ide\IdePort1 825D71E8
Device \Driver\atapi \Device\Ide\IdePort2 825D71E8
Device \Driver\atapi \Device\Ide\IdePort3 825D71E8
Device \Driver\atapi \Device\Ide\IdeDeviceP3T1L0-10 825D71E8
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-8 825D71E8
Device \Driver\Ftdisk \Device\HarddiskVolume4 8256A1E8
Device \Driver\Cdrom \Device\CdRom2 8241A398
Device \Driver\NetBT \Device\NetBt_Wins_Export 8221A980
Device \Driver\NetBT \Device\NetbiosSmb 8221A980

AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)

Device \Driver\usbuhci \Device\USBFDO-0 82428980
Device \Driver\usbuhci \Device\USBFDO-1 82428980
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 822211E8
Device \Driver\usbuhci \Device\USBFDO-2 82428980
Device \FileSystem\MRxSmb \Device\LanmanRedirector 822211E8
Device \Driver\usbuhci \Device\USBFDO-3 82428980
Device \Driver\usbehci \Device\USBFDO-4 82422980
Device \Driver\Ftdisk \Device\FtControl 8256A1E8
Device \Driver\a3txh9d6 \Device\Scsi\a3txh9d61Port4Path0Target0Lun0 824297C0
Device \Driver\a3txh9d6 \Device\Scsi\a3txh9d61 824297C0
Device \FileSystem\Fastfat \Fat 81FD2980

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 81FB05E0

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -372385660
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -471220313
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4B AF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4B AF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4B AF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4B AF72C53EA4@khjeh 0x17 0x14 0x34 0xB4 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4B AF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4B AF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4B AF72C53EA4\00000001@khjeh 0x64 0xB4 0x39 0x56 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4B AF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4B AF72C53EA4\00000001\0Jf40@khjeh 0xEF 0xE3 0x19 0x92 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4@khjeh 0x17 0x14 0x34 0xB4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4\00000001@khjeh 0x64 0xB4 0x39 0x56 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4\00000001\0Jf40@khjeh 0x66 0xF7 0x3C 0xC6 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4@khjeh 0x17 0x14 0x34 0xB4 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4\00000001@khjeh 0x64 0xB4 0x39 0x56 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72 C53EA4\00000001\0Jf40@khjeh 0xEF 0xE3 0x19 0x92 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.×\Op enWithProgids@\xd7_auto_file
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4394AE14-1903-9FE0-1E57-2E6758B45A9A}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4394AE14-1903-9FE0-1E57-2E6758B45A9A}@bblpnlfhfidgeffnmhdacccgpnnnjnodpcjc 0x6A 0x61 0x6B 0x6D ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4394AE14-1903-9FE0-1E57-2E6758B45A9A}@abfpdhdimhhgcfdjoapgimcoohdckeegem 0x6A 0x61 0x6B 0x6D ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4394AE14-1903-9FE0-1E57-2E6758B45A9A}@ialpnlfhfidgeffnmh 0x61 0x61 0x00 0x00
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4394AE14-1903-9FE0-1E57-2E6758B45A9A}@hafpdhdimhhgcfdj 0x61 0x61 0x00 0x00
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4394AE14-1903-9FE0-1E57-2E6758B45A9A}@iahknidmhjbaajnpbk 0x61 0x61 0x00 0x00

---- EOF - GMER 1.0.14 ----
         

Ein Tag später taucht mein Lautstärkeregler wieder auf und es gibt von AVG nur am Morgen eine Meldung. Dann ist msacm32.drv verschwunden.
Diesem Meldung fand AVG aber durch den Prozess: svchost.exe
(zeitlich kann ich nicht sagen, wann was von diesem jetzt zuerst eintrat)

Dann habe ich wieder einige Scans durchgeführt:
Mir viel dabei der von mbam auf, der mir nun zwei andere infeszierte Dateien meldete, die beiden infeszierten Schlüssel blieben. Die Dateien zeigt Virustotal.com als einwandfrei an!

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1785
Windows 5.1.2600 Service Pack 2

21.02.2009 19:09:08
mbam-log-2009-02-21 (19-08-53)2.txt

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 145340
Laufzeit: 44 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\WINDOWS\ServicePackFiles\i386\wextract.exe (Backdoor.Bot) -> No action taken.
F:\WINDOWS\system32\wextract.exe (Backdoor.Bot) -> No action taken.
         

Dann installier ich den CCleaner und führe den für die Registierdatenbank durch.
Danach verschwinden irgendwann die beiden Dateien, ich kann mich nicht entsinnen etwas mit ihnen gemacht zu haben, könnte ja allerdings sein. Die infeszierten Schlüssel bleiben allerdings, von denen ich eher ausging, dass sie durch den CCleaner evtl. entfernt wurden.

kurz vor dem ersten Fund, wollte ich übrigens windows durch den IE auf den neusten Stand bringen. Ich suchte mir die sinnvollen updates aus und klickte auf Download, eigentlich sollte dann eine Installationsaufforderung kommen, die kam allerdings nicht, aber das hab ich selbst wohl eher im Stress verursacht.


schon mal danke, wenn du dir den kram hier reingezogen hast! ich würd mich auch über irgendne antwort freuen

mfg Soks

Existiert einer dieser Einträge in deiner Registrierung?

Code: Alles auswählenAufklappen

ATTFilter

HKEY_CURRENT_USER\Software\NirSoft
HKEY_CURRENT_USER\Software\NirSoft\MessenPass
HKEY_CURRENT_USER\Software\NirSoft\ProduKey

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
 ---> wextract_cleanup0 = "rundll32.exe System%\advpack.dll,DelNodeRunDLL32 "%Temp%\IXP000.TMP\
         

Hey ^^
also keiner der Einträge ist vorhanden oder war vorm CCleaner vorhanden.
Bei RunOnce ist ansonsten auch nur der Standart Eintrag.
Hab auch bei RunOnce-Ex gesucht und ein wenig die Suchfunktion benutzt.
Mir sagt Nirsoft wenig, erinnert mich nur an Grisoft.
Das andere soll wohl ein Eintrag zur Entfernung sein ^^

mfg Soks und schon ma danke für den post ; )

Ich habe übrigens die beiden infeszierten Dateien in der Registry nicht gefunden, dafür aber unterwegs andere mir merkwürdig erscheinende Einträge:

Code: Alles auswählenAufklappen

ATTFilter

HKEY_LOCAL_MACHINE\SOFTWARE\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15} -- (Standart)/Reg_SZ/(wert nicht gesetzt)
         

sieht für mich so aus, als könnte ich den entfernen... der andere:

Code: Alles auswählenAufklappen

ATTFilter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ `hi',9 --
(Standart)/Reg_SZ/(Wert nicht gesetzt)  und dazu ein weiterer
d6b700fb2e81b3ad/Reg_QWORD/a2 01 fa 20 e2 f8 d9 c1
         

naja, würd ich mir weiter in der Registry umschauen, würd ich wahrscheinlich noch mehr finden, was mir merkwürdig erscheint.
Aber wie gesagt, die Schlüssel die mbam dort findet, sehe ich nicht!

edit: doch gefunden! bin mit mbam dorthin gesprungen und plötzlich waren die sichtbar...

Code: Alles auswählenAufklappen

ATTFilter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
Einträge:
(Standart)/Reg_SZ/(Wert nicht gesetzt)
affid/Reg_SZ/53
subid/Reg_SZ/v300

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
(Standart)/Reg_SZ/(Wert nicht gesetzt)
affid/Reg_SZ/53
build/Reg_SZ/standart
subid/Reg_SZ/v300
type/Reg_SZ/clicker
         

hilft mir jetzt auch nicht direkt weiter ; )
aber vllt. weiß ja hier sonst jemand weiter

Soks

Also zu den merkwürdigen Registryeinträgen kann ich dir auch nichts sagen, sind allerdings komisch.

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata

Ist schonmal schlecht, anscheinend aber nicht mehr aktiv.

msacm32.drv ist der Microsoft Sound Mapper, gehört allerdings in Windows\System32 und nicht in Windows\ ..... Deshalb sieht es nicht so gut aus, und msacm32.drv auch als Malware identifiziert wurde.

Lade dir Combofix runter.

Bevor du es startest schliesse alle offenen Programme und deaktiviere alle Virenprogramme und Spywareprogramme

Schliesse auch alle externen Laufwerke an. Auch USB-Stiks und Cams.

Combofix verhindert übrigens die Autostart Funktion aller CD/DVD und USB - Laufwerken.

Dort kannst du genaueres nachlesen:
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Allgemein würde ich dir dazu raten ein Neuaufsetzen in betracht zu ziehen. Es wäre am sichersten, weil man nie genau weiss, was die Schadsoftware schon alles angestellt hat, seit dem sie drauf ist.