Also ich habe auf meine PC WinXp C:\ und Vista D:\ installiert und mir etwas böses eingefangen was mein XP geschrottet hat. Nun würde ich gerne wissen ob meine Vista installation auch von dem Virus betroffen ist...

Avira Logdatei nach einem komplettscann ist unten auch zu finden, wobei ich wie schon erwähnt nicht sicher bin ob meine Vista installation auch befallen ist oder die dateien die von avira gefuden wurden von dem winxp virus verändert / erstellt wurden.

Hier ist die HijackThis Logdatei:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:54:49, on 16.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\3xHybridRMT.exe
C:\Program Files (x86)\FreePDF_XP\fpassist.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Programme (x86)\Mozilla Firefox\firefox.exe
C:\Programme (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TV Card Remote Control Device Monitor] C:\Windows\3xHybridRMT.exe
O4 - HKLM\..\Run: [FreePDF Assistant] "C:\Program Files (x86)\FreePDF_XP\fpassist.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /install /silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FortKnox Personal Firewall (fortknox) - NETGATE Technologies s.r.o. - C:\Program Files\NETGATE\FortKnox Personal Firewall 2008\FortKnox.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files (x86)\WinPcap\rpcapd.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6921 bytes





Aviralog nach scann:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 2009 16:19

Es wird nach 1285847 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Vista x64 Edition
Windowsversion: (Service Pack 1) [6.0.6001]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: JOHN-PC

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 18:42:07
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 17:06:22
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 17:06:22
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 17:06:22
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 16:54:46
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 21:42:20
ANTIVIR2.VDF : 7.1.2.105 513536 Bytes 03.03.2009 21:17:20
ANTIVIR3.VDF : 7.1.2.130 124416 Bytes 06.03.2009 10:19:48
Engineversion : 8.2.0.105
AEVDF.DLL : 8.1.1.0 106868 Bytes 07.02.2009 20:46:09
AESCRIPT.DLL : 8.1.1.57 356729 Bytes 06.03.2009 10:19:52
AESCN.DLL : 8.1.1.8 127346 Bytes 06.03.2009 10:19:51
AERDL.DLL : 8.1.1.3 438645 Bytes 07.11.2008 15:30:10
AEPACK.DLL : 8.1.3.10 397686 Bytes 04.03.2009 21:17:30
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 04.03.2009 21:17:29
AEHEUR.DLL : 8.1.0.104 1634679 Bytes 06.03.2009 10:19:51
AEHELP.DLL : 8.1.2.2 119158 Bytes 04.03.2009 21:17:23
AEGEN.DLL : 8.1.1.25 336243 Bytes 06.03.2009 10:19:49
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 17:36:13
AECORE.DLL : 8.1.6.6 176501 Bytes 19.02.2009 21:42:22
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 17:36:12
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 17:06:22
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 17:06:22
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 15:59:41
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 17:06:22
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 17:00:00
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 17:06:22
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 17:00:00
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 17:06:23
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 17:00:00
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 17:06:20
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 17:06:20

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme (x86)\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, G:, H:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 6. März 2009 16:19

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Virtual PC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'FortKnoxWow64.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FortKnox.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PWRISOVM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '3xHybridRMT.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FortKnoxGUI.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '0' Modul(e) wurden durchsucht
Es wurden '15' Prozesse mit '15' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '32' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Vista>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\iivopso.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\mfvse.exe
[FUND] Ist das Trojanische Pferd TR/Tiny.705
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a273f9a.qua' verschoben!
C:\ootpnl.exe
[FUND] Ist das Trojanische Pferd TR/Downloader.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Windows\System32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <WinXp>
D:\Dokumente und Einstellungen\John\Lokale Einstellungen\Temp\AD57.tmp
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/KeyStart.BC
[HINWEIS] Die Datei wurde gelöscht.
D:\Dokumente und Einstellungen\John\Lokale Einstellungen\Temp\csrssc.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\Dokumente und Einstellungen\John\Lokale Einstellungen\Temp\winvsnet.tmp
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\Dokumente und Einstellungen\John\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXE9UB65\apstpldr.dll[1].htm
[FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\Dokumente und Einstellungen\John\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXE9UB65\cd[1].htm
[0] Archivtyp: HIDDEN
--> FIL\\\?\D:\Dokumente und Einstellungen\John\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXE9UB65\cd[1].htm
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\WINDOWS\system32\crypts.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.JLRL
[HINWEIS] Die Datei wurde gelöscht.
D:\WINDOWS\system32\ddcAtTKB.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\WINDOWS\system32\dqqhlyqx.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\WINDOWS\system32\mlJBusPG.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\WINDOWS\system32\prunnet.exe
[FUND] Ist das Trojanische Pferd TR/Agent.bpik
[HINWEIS] Die Datei wurde gelöscht.
D:\WINDOWS\system32\qnhotv.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\WINDOWS\system32\senekadpasfoen.dll
[FUND] Ist das Trojanische Pferd TR/PCK.Tdss.C.89
[HINWEIS] Die Datei wurde gelöscht.
D:\WINDOWS\system32\senekaetirnylp.dll
[FUND] Ist das Trojanische Pferd TR/PCK.Tdss.C.92
[HINWEIS] Die Datei wurde gelöscht.
D:\WINDOWS\system32\senekaixfmuwkt.dll
[FUND] Ist das Trojanische Pferd TR/PCK.Tdss.C.95
[HINWEIS] Die Datei wurde gelöscht.
D:\WINDOWS\system32\ssqOEVoN.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\WINDOWS\system32\vcpktjsh.dll
[0] Archivtyp: RSRC
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\WINDOWS\system32\drivers\senekaxiaybwuy.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Die Datei wurde gelöscht.
D:\WINDOWS\Temp\AD88B531.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\' <wooooo>
Beginne mit der Suche in 'G:\' <G-Platte^^>
Beginne mit der Suche in 'H:\' <Wayne>


Ende des Suchlaufs: Freitag, 6. März 2009 17:26
Benötigte Zeit: 1:06:35 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

36633 Verzeichnisse wurden überprüft
922396 Dateien wurden geprüft
21 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
20 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
922372 Dateien ohne Befall
8476 Archive wurden durchsucht
3 Warnungen
21 Hinweise

Hallo dark-john und

Zuerst solltest du dies zur Kenntnis nehmen:

Dein System ist kompromitiert von mehreren Trojaner, die von einigen Ausnahmen abgesehen, über Backdoor Eigenschaften verfügen. Nicht ganz auszuschließen ist, das du dir ein oder mehrere Rootkits eingefangen hast.
Alleine dies sollte ein Grund sein über ein Neuaufsetzen deines systems nachzudenken....

Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Wenn diese Tarnung fällt, ist der Virus verwundbar...

DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR

Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:
Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst.

Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden.....

Code: Alles auswählenAufklappen

ATTFilter

Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!
Download von Avenger 
Download von Malwarebytes Anleitung:  Malwarebytes Anti-Malware  <--- dl Linkin der Erklärung LESEN !!!
Download von Gmer 
Download von MBR.exe
         

Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus. Als Vista User musst du alle Programme als Admin starten ( Rechtsklick ), sonst wirds nicht gehen.

Checken wir das Ganze erst mal von Anfang an. Wir müssen zunächst die DNS Einträge deiner Internetverbindung überprüfen. Gehe wie folgt vor:

Klassische Ansicht oder hier VISTA

Code: Alles auswählenAufklappen

ATTFilter

Geh bitte auf START
Systemsteuerung
Netzwerk- und Internetverbindungen
Netzwerkverbindungen
Hierauf dann einen Rechtsklick und Eigenschaften anklicken. 
Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. 
Hierauf auch einen Rechtsklick und Eigenschaften aufrufen.
         

Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP
drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften.

Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen?
Dein System sollte die DNS eigentlich automatisch beziehen.

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:
Klassische Ansicht:
Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..
oder hier: KLICK
Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 4.
Aktiviere MBR.exe Lass es laufen und poste das Logfile hier.

Punkt 5.
Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....
Lasse zum Abschluß alle Funde löschen

Punkt 5.
Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.

Weiteres kommt dann nach diesem Logfile von mir.....

Wie schon gesagt ich habe mein XP System infiziert was nun nicht mehr funktioniert, deswegen meine Frage ob das Vista system auch betroffen ist obwohl der infekt unter XP statgefunden hat..

Ach ja und danke für die schnelle Antwort

1 bis 3 alles kein Problem


***********************************************************
4. Natürlich als Admin ausgeführt

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

**********************************************************
5. Den Scann mit dieser Software hatte ich schon ausgeführt aber habe es noch ein weiteres mal gemacht. Der erste Scann hat was gefunden beim zweiten, nachdem ich deine Anleitung hier gelesen habe, hat er nichts mehr gefunden.

Erste logdatei:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1853
Windows 6.0.6001 Service Pack 1

16.03.2009 12:23:12
mbam-log-2009-03-16 (12-23-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|H:\|)
Durchsuchte Objekte: 339912
Laufzeit: 1 hour(s), 45 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\john\AppData\Roaming\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.

*********************************************************
6.

GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-16 16:01:55
Windows 6.0.6001 Service Pack 1


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00125a0fb518
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00125a0fb518@0014a7046c73 0x58 0x0F 0xA7 0x35 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x24 0x7B 0x25 0x38 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x88 0x8D 0xA0 0xC3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xCA 0x63 0x5D 0xC2 ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00125a0fb518
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00125a0fb518@0014a7046c73 0x58 0x0F 0xA7 0x35 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x24 0x7B 0x25 0x38 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x88 0x8D 0xA0 0xC3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xCA 0x63 0x5D 0xC2 ...

---- EOF - GMER 1.0.15 ----

Ich befürchte etwas sitzt in dem MasterBootRecord ( MBR ). Der Kernel ist im Status = error reading MBR.

Ic h suche mal eben nach einem passenden Tool. Bin gleich wieder da...

Zitat:

Zitat von Redwulf

Ich befürchte etwas sitzt in dem MasterBootRecord ( MBR ). Der Kernel ist im Status = error reading MBR.

Ic h suche mal eben nach einem passenden Tool. Bin gleich wieder da...

sollte ich vieleicht noch dazu sagen...

Nachdem mein xp infiziert war konnte ich auch vista nicht starten weil er keine bootfestplatten gefunden hatte.. Habe mit der Ultimateboot cd versucht den bootsektor neu zu schreiben und danach ging es wieder, also zumindest vista.

John, lass nochmal die MBR.exe laufen und poste das Ergebnis nochmals

Zitat:

Zitat von Redwulf

John, lass nochmal die MBR.exe laufen und poste das Ergebnis nochmals

kein unterschied, habe übrigens ein 64 bit vista und vieleicht kann er deswegen den kernel nicht lesen?


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

Hi,

das kann damit zusammenhängen...

Kannst Du bitte GMER nochmal laufen lassen und das Log in "code"-Tags einschließen und komplett posten...

Bitte Avira-Antirootkit:
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Und dann noch Dr. Web (man glaubt es kaum, aber der findet auch Rootkits ):
http://freedrweb.com/?lng=de
Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten!

chris

Ps.: Wenn Du allerdings von der CD gebootet hast und den Bootblock geplättest hast, sollte er eigentlich clean sein, [es gibt noch was, aber dann bleibt nur komplett formatieren])

Hi,

ja, mbr.exe läuft nicht unter vista 64Bit...

Und ja, vista sollte nicht verseucht sein, da (theoretisch):

Zitat:

...
This rootkit wont work on x64 platform becouse it has only x86 version
of code, however it propobly can modify the MBR.
...

Trotzdem bitte alles so abfackeln wie vorher gepostet...

chris

gmer logfile nach erneutem scann unten

Avira rootkid dings läuft nicht "konnte Treiber nicht laden"

Dr web scan läuft gerade.

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-18 20:26:33
Windows 6.0.6001 Service Pack 1


---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00125a0fb518                            
Reg  HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00125a0fb518@0014a7046c73               0x58 0x0F 0xA7 0x35 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                     771343423
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                     285507792
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                     1
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                       
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                    C:\Program Files (x86)\DAEMON Tools Lite\
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                    0
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                 0x24 0x7B 0x25 0x38 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001              
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0           0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh        0x88 0x8D 0xA0 0xC3 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40        
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh  0xCA 0x63 0x5D 0xC2 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00125a0fb518                                
Reg  HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00125a0fb518@0014a7046c73                   0x58 0x0F 0xA7 0x35 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                           
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                        C:\Program Files (x86)\DAEMON Tools Lite\
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                        0
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                     0x24 0x7B 0x25 0x38 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                  
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0               0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh            0x88 0x8D 0xA0 0xC3 ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40            
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh      0xCA 0x63 0x5D 0xC2 ...

---- EOF - GMER 1.0.15 ----
         

Hi,

das sieht OK aus...
Was sagt Dr. Web?

chris

DR web sagt folgendes, wobei nicht zu vergessen ist die D:\ Festplatte ist meine von vieren befallene und nicht mehr funktionierende winxp partition

Code: Alles auswählenAufklappen

ATTFilter

pgabdbf.sys;D:\WINDOWS\system32\drivers;Trojan.NtRootKit.2753;Gelöscht.;
VBAOL11.CHM\html/olobjAddressEntries.htm;G:\Apps\office2003\Office\FILES\PFILES\MSOFFICE\OFFICE11\1031\VBAOL11.CHM;Modifikation von VBS.Generic.205;;
VBAOL11.CHM;G:\Apps\office2003\Office\FILES\PFILES\MSOFFICE\OFFICE11\1031;Container enthält infizierte Objekte;Verschoben.;
VBAPJ.CHM\html/pjmthcalendardateboxes.htm;G:\Apps\office2003\Project\FILES\PFILES\MSOFFICE\OFFICE11\1031\VBAPJ.CHM;Modifikation von Win32.Yasv.924;;
VBAPJ.CHM;G:\Apps\office2003\Project\FILES\PFILES\MSOFFICE\OFFICE11\1031;Container enthält infizierte Objekte;Verschoben.;
         

Hi,

sieht gut aus bis auf die Sachen auf G:...

Denke das System ist bis auf die D-Platte in Ordnung...
Wenn Du die formatierst bitte inkl. neuen MBR-schreiben...

chris

übrigens läuft mein xp system wieder :P nachdem ich das rootkit unter vista gelöscht habe.


mbr.exe sagt nun übrigens folgendes wenn ich das unter winxp 32bit ausführe

Zitat:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Hi,

auch das sieht gut aus, lass unter XP noch mal GMER laufen und poste das Log...
(Eigentlich dachte Du wolltest XP platt machen, wäre wahrscheinlich auch besser ;o)

chris