also, mal wieder nen systemcheck gemacht: antivirus ( vollständiger check auch rootskits etc ) und spybot haben nix gefunden, spyware doctor fand '' trojan.zlob!sd6 ". nachdem ich ihn entfernt hatte lief ich alle programme nochmal durchlaufen. dabei wurde nix gefunden, allerdings habe ich jetzt nen anderes problem: zwar findet antivirus anch wie vor beim vollständigen suchen nix, der guard schlägt aber immer mal wieder an und meldet den '' TR/Crypt.PEPM.Gen ''. lasse den immer in die quarantäne verschieben udn lösche ihn dan, dennoch taucht er immer wieder auf. besonders merkwürdig ist, dass er verstärkt dann vom guard gefunden wird, wenn spyware doctor das system durchsucht und dann auch im spyware doctor ordner sogar. in dem moment wo de rguard anschlägt meldet er zeitgleich meldet dann auch immer den gleichen fehler - hier nen beispiel:
fund:
In der Datei 'C:\Programme\Spyware Doctor\avdb\temp\00000012.FIL\_PECompact_.sdupk'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.PEPM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
fehler:
Fehler in AntiVir Guard.
Fehlertext: Aktion ist fehlgeschlagen für die Datei: C:\Programme\Spyware Doctor\avdb\temp\00000012.FIL\_PECompact_.sdupk
Fehlercode: [0x00000003 - Das System kann den angegebenen Pfad nicht finden.].

ich frage mich jetzt, ob das vllt harmlose falschmeldungen sind...

bevor wer fragt, für alle scans udn durchläufe gilt: wurden im abgesicherten modus von windows durchgeführt , die systemwiederherstellung habe ich deaktiviert, all updates sind aktuell, die meisten anwendungen wurdem im taskmanager deaktiviert und immer zwischendurch habe ich den CCcleaner laufen lassen.

naja, letztendlich habe ich halt den hijack laufen lassen und bitte euch mal den log zu checken was nicht passt / ob alles passt etc, denn davon habe ich keine ahnung...
vielen dank im voraus schon mal !

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:09:14, on 09.03.2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
c:\windows\explorer.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe"
O4 - HKCU\..\RunOnce: [RegistryDefrag Success Message] "C:\Programme\TuneUp Utilities 2007\TUMessages.exe" /RegDefrag_Success
O4 - HKUS\S-1-5-21-436374069-492894223-1060284298-500\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-436374069-492894223-1060284298-500\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ThreatFire - PC Tools - C:\Programme\Spyware Doctor\TFEngine\TFService.exe

--
End of file - 4281 bytes

Halli hallo.

Dein System stammt aus der Urzeit. Sowas ans Netz zu lassen grenzt an Wahnsinn.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..

• Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda, Kaspersky's Internet Security 2009 oder avast free.
  Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
  .
• Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
  .
• Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
  .
• Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
  .
• Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
  .
• Das aktuelle ServicePack sollte installiert sein:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
  .
• Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
    Vista_Firewall punktgenau konfigurieren
  .
• Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodoo o-ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Ganz im Gegenteil
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
    und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
  .
• Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
  .
  Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..

hei, danke für die umfassende antwort, habe direkt nen paar fragen:

1.

Zitat:

Dein System stammt aus der Urzeit

worauf beziehst du das?

2. wenn ich '' mbr.exe'' ausführen will sagt mir das system es sei keine zulässige win32 anwendung - ausserdem meldet spyware mir folgendes:
name der bedrohung: rootkit.agent!sd6
anwendung blockiert von spyware

3. begründne sich deien hinweise jetzt darauf, das smein hijack konkret nen virus/trojaner etc anzeigt? wenn ja hätte ich gerne infos dazu...

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Das ist ein Urzeit System.

Deinstalliere das Programm welches die mbr.exe am Arbeiten hindert.

Checke den MBR; wenn er in Ordnung ist mach dich gleich drann neuaufzusetzen... Und sichere das neue System dann ordentlich ab bevor du damit an's Netz gehst.
Ohne aktuelles ServicePack bist du sonst sofort wieder befallen...

wie weiss ich, welches prog MBR am arbeiten hindert ?

das mit Neuaufsetzen ohne datensicherung wird nen ziemliches problem, denn ich habe 116gb filmue, musik, fotos, videos etc drauf die nicht weg dürfen..-muss ich wohl alles einzeln mit escan checken

Zitat:

ausserdem meldet spyware mir folgendes:
name der bedrohung: rootkit.agent!sd6
anwendung blockiert von spyware

ich habe ja keine Ahnung was du mit "Spyware" meinst aber evtl. sowas wie den Spywarefighter oder sonstigen Blödsinn?

meine das http://www.pctools.com/de/spyware-doctor/

Jo. Deinstallieren. MBR.exe laufen lassen. Neuafusetzen.

so sry, war zeitlang weg - jetzt kann ich mcih weiter damit beschäftigen...

also habe dieses mbr.exe mal mit http://www.virustotal.com/de/ gescannt, dabei kamen 8 funde raus - ist das normal ?

CAT-QuickHeal 10.00 2009.03.13 (Suspicious) - DNAScan

eSafe 7.0.17.0 2009.03.12 Suspicious File

K7AntiVirus 7.10.668 2009.03.12 Trojan.Win32.Malware.1

nProtect 2009.1.8.0 2009.03.14 Trojan/W32.Rootkit.66048.B

Panda 10.0.0.10 2009.03.14 Generic Malware

PCTools 4.4.2.0 2009.03.13 Rootkit.Agent!sd6

TrendMicro 8.700.0.1004 2009.03.13 PAK_Generic.001

VBA32 3.12.10.1 2009.03.14 suspected of Win32 Shadow Driver Install

werd es also bis ihr mir weitere infos gebt mal nciht ausführen erstmal...

Hi prantez

du solltest nicht die Mbr.exe Prüfen lassen , wenn du die Software dort geladen hast wo Undoreal gesagt hat ist die Sauber.
Sondern lasse mbr.exe laufen und Poste das Ergebnis.!!

Ist sehr wichtig Da sonst nicht sicher ist das selbst nach nem Formatieren der Rechner sauber ist.


MfG

Ghost1975

wozu mbr da ist habe ich schon verstanden, aber ich scanne alles was ich runterlade und da sind halt dieses results bei rausgekommen - und ansprechen kann ja nicht schaden...


davon unabhängig habe ich mal escan durchgeführt. natürlich mache ich das dann nochmal nach mbr und auch nach dem Neuaufsetzen des system für die gesicherten daten ( bei mir werden das ca 110gb sein ) - trotzdem dachte ich '' könnte es ja auch einfahc schon mal vorher machen ''

hier sind mal die beiden logfiles von vor und nach ausführen von find.bat - per upload weil text zu lang...


vor:
http://www.file-upload.net/download-1523886/MWAV.LOG.html

nach:

http://www.file-upload.net/download-1523912/eScan_neu.txt.html