Hallo miteinander!

Habe seit gestern den Trojaner TR/Patched.DY.1 auf meinem PC. Zunächst zeigte Antivir ihn mir in C:\Dokumente und Einstellungen\*Computername*\Temp als tmp9.tmp angezeigt, nach mehreren erfolglosen Lösch- und Quarantäneversuchen seitens AntiVir ist der allerdings auf C:\ARK13.tmp "umgezogen".

Habe zwar schon im Forum was darüber gelesen, allerdings wurde da mit ComboFix gearbeitet, wesewgen ich mich da nicht ohne Unterstützung rantraue.

Nunja, hoffe, dass mir hier jemand helfen kann!

Liebe Grüße

Edit: Der Virus äußert sich bei mir durch Deaktivierung meiner Firewall beim Systemstart, Fehlermeldung bei Zugriff auf Festplatten vom Arbeitsplatz aus und Diverser Veränderungen meiner Freigabeeinstellungen.

Hab eben versucht, Anti-Malware drüber laufen zu lassen, funktioniert aber leider nicht. Dafür hab ich dhier die Logfile vom HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:47:02, on 07.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\DNA\btdna.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\Programme\Curse\CurseClient.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {191DA74F-8C02-41E3-BF88-F5314EA1743B} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [CurseClient] D:\Programme\Curse\CurseClient.exe -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://w+w.update.microsoft.com/wind...?1197054485291
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C273BCD-0DDB-4522-B89D-841724ED2DE9}: NameServer = 85.255.112.15,85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.15,85.255.112.215
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.226,85.255.112.96
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.15,85.255.112.215
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

--
End of file - 5909 bytes


Braucht ihr sonst nochwas oder lässt sich damit schon was anfangen?

Liebe Grüße

Hybris23

Hallo...und
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Sorry, aber was genau soll mir das jetzt sagen? Das ich im falschen Foren-Bereich bin oder dass ich irgenwas an Infos vergessen hab. Wie gesagt, ich habe das Forum schon nach Lösungen durchsucht, aber leider nix gefunden, was ich ohne weiteres hätte selber anwenden können.

85.255.112.15 etc.



diese IPs kommen mir bekannt vor... dein rechner telefoniert irgendwohin in die ukraine oder so. ändere auf jeden fall sämtliche passwörter (außer von diesem forum, das brauchst du ja eh noch auf dem pc) von einem SAUBEREN PC aus und mach abgesehen von dem forum hier nix mehr von der kiste aus. schon gar kein onlinebanking...

schließe KEINE USB-STICKS oder sonstiges mehr an den pc an und plätte wenn möglich alle sticks, die da angeschlossen waren per linux live-cd. achtung: trekstor mag es nicht unter linux formatiert zu sein. also da nur die autorun.inf-dateien auf dem ding abschießen - auch von linux aus natürlich.

das viech erstellt nämlich schrottige einträge in der autorun.inf aller laufwerke. versucht ohne rückfrage was zu starten und ändert die standardaktion beim dopelklick - daher die fehlermeldung.

alternativ geht das auch über einen SAUBEREN windows-pc, dort gilt aber:

Schritt 1:

Code: Alles auswählenAufklappen

ATTFilter

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
         

das zeug da oben in eine textdatei kopieren, die als turnoffautorun.reg speichern und per doppelklick zusammenführen.

Schritt 2:

Neustarten. jetzt sollte, wenn du alles richtig gemacht hast, kein autorun mehr laufen. am besten mal als test irgendeine cd einlegen, die normalerweise was startet, egal was (hauptsache kein virus )

Schritt 3:

Die gewünschten datenträger am besten formatieren.

jetzt könntest du den eben erstellte schlüssel löschen, würde ich aber nicht empfehlen, im gegenteil. ich nutze den schon seit einiger zeit. der sicherheitsgewinn ist um einiges größer als der komfortverlust (man kann ja notfalls in der autorun.inf nachgucken )

so schleuderst du die dinger wenigstens nicht mehr durch die gegend, zum beispiel in richtung der in kürze wohl fälligen windows-neuinstallation. die würde ich in dem fall definitiv empfehlen. aber warte am besten nochmal auf die combofix-experten.

OHa! Da schon ma vielen Dank für diese Info!

Ändere grad meine Passwörter über nen sauberen Rechner, versteh nur nich ganz, wie ich die Deaktivierung vom Autorun über einen Windows-PC machen soll (bzw wie ich das Skript übertrag). Soll ich das also auf dem sauberen PC erstellen und mir dann Mailen? oder hab ich da was falsch verstanden?

Gruß