Hi.
Auch ich habe mir den TR/Dropper.Gen eingefangen, der bei mir unter system32 eine twext.exe erzeugt. Beim Start meldet AntiVir das, die twext.exe ist aber selbst nach´m löschen weiterhin aktiv. Wenn ich sie aus den aktiven Prozessen lösche ist alles beim nächsten Start wieder genauso.
Habe gegoogelt und auch hier etwas nachgelesen, aber als Nicht-PC-Freak sind die meisten Antworten für mich recht unverständlich.
Ich poste hier mal mein hijackthis-Logfile. Vielleicht erklennt ja jemand wo sich da dieses Scheißteil hochläd und kann mir sagen wie ich den loswerde. Die Hijack-Auswertung auf deren HP hat (zumindest in dieser Sache) nix ergeben.
Danke im voraus!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:06:33, on 18.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {D73F49B6-B51B-4d32-A3B7-BD04B8342F53} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - (no file)
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236001767078
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1236001757250
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f009.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{032724B4-9463-4BD6-B191-584E87DC8217}: NameServer = 192.168.101.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{032724B4-9463-4BD6-B191-584E87DC8217}: NameServer = 192.168.101.253
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 7071 bytes

Bitte um Hilfäääääääääääää...

Hallo troja-opfer und

Zuerst solltest du dies zur Kenntnis nehmen:

Dein System ist kompromitiert ......

DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR

Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:
Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst. Ich kann keinerlei Garantie oder Haftung hier übernehmen. Ich denke du verstehst das.

Beweise die Anweisungen genau und unternehme nichts auf eigene Faust.

Bitte lade dir dieses Tool herunter:

AVZ Tools von Kaspersky

Sichere den Download im Ordner eigene Dateien und entpacke ihn auch dort.
Du findest dann den Ordner: AVZ4, hierin befindet sich noch ein Ordner. Öffne diese und führe einen Doppelklick auf das ICON AVZ aus.

Das Programm öffnet sich.
Navigiere nun zu

File / Custom Scripts.

Es öffnet sich nun ein weißes Scriptfeld

Kopiere nun bitte folgendes Script mittels Strg + C

Code: Alles auswählenAufklappen

ATTFilter

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
         

und füge das Script mittels Strg + V dort ein.

Achte darauf das das Script genauso aussieht wie in der Codebox oben, manchmal pasiert es, dass kopierte Texte aus einer Codebox eine Lücke zwischen den Buchstaben hinterlässt. Korrigiere das notfalls. Du kannst auch die systax überprüfen vorher indem du auch Check Syntax drückst. Sollte ein Fehler angezeigt werden---DIESES SCRIPT NICHT AUSFÜHREN---- Dann ist erst mal Ende hier und du berichtest mir dann....

Für alle Mitleser: Dieses Script wurde ausschließlich für diesen User und diesen PC geschrieben.
Bitte nicht auf anderen PC´s einsetzen, da ansonsten Schäden nicht auszuschließen sind...

Zu diesem Zeitpunkt solltest du alle Arbeiten abgeschlossen und gesichert haben. Beende alle anderen Programme und Browser.
Drücke nun RUN.

Führe keine weiteren Arbeiten am PC aus während das Script läuft, bewege nicht die Maus und berühre auch nicht die Tastatur. Es kann sein, dass der PC nach dem Ausführen rebootet, muss aber nicht sein. Lass das Programm in Ruhe zu Ende arbeiten...

Als nächstes setzen wir ComboFix ein:

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.

Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

CCleaner Systembereinigung nochmals laufen lassen

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen. Falls das nicht funktioniert, dann benenne die ComboFix.exe einfach um in Hups.exe und lass das Programm dann laufen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das Log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbreitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Danke für die detaillierte Antwort, die extra "für Doofe" verfasst wurde. Vieles sind für mich weiterhin böhmische Dörfer, aber vielleicht klappt´s mit der Hilfe ja. Werde mich erst nächste Woche damit beschäftigen können, zu viel Stress momentan.
Habe noch drei Fragen zur "Trojaner-Logik":
1. wenn ich die Daten sichere und sicherheitshalber noch mal durchscanne; sind diese dann sauber?
2. Der Trojaner sitzt in den Startdateien, erzeugt beim Start diese twext.exe (die man mal im Ordner system32 findet, mal nicht), die dann als aktiver Prozess läuft und irgendwie das Fenster für Angriffe öffnet - versteh ich das richtig? Wenn ich nun bei dedem Start den Prozess sofort beende, ist dann nicht alles wie vorher und eigentlich sicher?
3. Müsste eine Säuberung nicht auch klappen, wenn ich eine Systemwiederherstellung mit einem früheren Wiederherstellungspunkt (vor Befall) mache?
Nicht lachen über die laienhaften Fragen...

Hallo,

ich hoffe hier kann mir jemand helfen. Bin neu in diesem Forum und habe ein Problem mit TR/Dropper.Gen und TR/Crypt.XPack.Gen. Diese beiden Trojaner werden seit ca. 2Wochen von AntiVir gemeldet. Verschieben in Quarantäne und danach löschen ist zwecklos. Ich habe mit Combofix gescannt und folgende txt-Datei erhalten:

ComboFix 09-03-19.01 - Administrator 2009-03-20 12:26:39.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1983.1402 [GMT 1:00]
ausgeführt von:: c:\admin\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-20 bis 2009-03-20 ))))))))))))))))))))))))))))))
.

2009-03-20 11:04 . 2009-03-20 11:04 <DIR> d-------- c:\programme\Windows Defender
2009-03-20 10:59 . 2009-03-20 10:59 118 --a------ c:\windows\system32\MRT.INI
2009-03-20 10:56 . 2008-12-20 23:30 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-03-20 10:56 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-03-20 10:56 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-03-20 10:56 . 2008-12-20 23:31 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-03-20 10:56 . 2008-12-20 23:30 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-03-20 10:56 . 2008-12-20 23:30 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-03-20 10:56 . 2008-12-20 23:30 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-03-20 10:56 . 2008-12-20 23:31 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-03-20 10:56 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-03-20 10:49 . 2009-01-09 20:19 1,089,883 -----c--- c:\windows\system32\dllcache\ntprint.cat
2009-03-20 09:54 . 2009-03-20 09:54 <DIR> d-------- c:\programme\Avira
2009-03-20 09:54 . 2009-03-20 09:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-20 09:54 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys
2009-03-20 09:51 . 2009-03-20 09:51 <DIR> d-------- c:\programme\RDT Global
2009-03-20 09:50 . 2009-03-20 09:50 <DIR> d-------- c:\windows\Downloaded Installations
2009-03-20 09:44 . 2009-03-20 09:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Danware Data
2009-03-20 09:44 . 2006-05-24 09:00 91,408 --a------ c:\windows\system32\drivers\NHOSTNT1.SYS
2009-03-20 09:44 . 2006-05-24 09:00 3,216 --a------ c:\windows\system32\drivers\NHOSTNT3.SYS
2009-03-20 09:44 . 2006-05-24 09:00 2,480 --a------ c:\windows\system32\NHOSTNT4.DLL
2009-03-20 09:43 . 2009-03-20 09:43 <DIR> d-------- c:\programme\Danware Data
2009-03-20 09:42 . 1998-07-30 18:41 306,688 --a------ c:\windows\IsUn0407.exe
2009-03-20 09:42 . 2009-03-20 09:44 161 --a------ c:\windows\NetOp.INI
2009-03-20 08:18 . 2009-03-20 08:43 <DIR> d-------- c:\programme\Macromedia
2009-03-20 08:18 . 2009-03-20 08:19 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macromedia
2009-03-20 08:13 . 2009-03-20 08:13 <DIR> d-------- c:\programme\Micrografx
2009-03-20 08:13 . 1996-08-16 13:49 298,496 --a------ c:\windows\uninst.exe
2009-03-20 08:13 . 1997-03-21 11:23 188,928 --a------ c:\windows\MGXBM20.DLL
2009-03-20 08:13 . 1996-10-16 15:37 172,544 --a------ c:\windows\MGXCLEAN.EXE
2009-03-20 08:13 . 1997-04-04 02:00 76,288 --a------ c:\windows\system32\PPIV20.DLL
2009-03-20 08:13 . 1997-03-20 10:51 38,400 --a------ c:\windows\MGXFRM20.DLL
2009-03-20 07:51 . 2009-03-20 07:51 <DIR> d-------- c:\programme\Zero G Registry
2009-03-20 07:49 . 2009-03-20 07:49 <DIR> d-------- c:\programme\Siemens
2009-03-20 07:49 . 2009-03-20 07:49 <DIR> d-------- c:\dokumente und einstellungen\Administrator\InstallAnywhere
2009-03-20 07:49 . 2009-03-20 07:52 <DIR> d-------- c:\dokumente und einstellungen\Administrator\.LOGOComfort5
2009-03-19 17:25 . 2009-03-20 08:12 <DIR> d-------- C:\EWB5
2009-03-19 17:25 . 2009-03-19 17:25 0 --a------ c:\windows\system\Win32s.ini
2009-03-19 17:24 . 2009-03-19 17:24 <DIR> d-------- c:\dokumente und einstellungen\Administrator\WINDOWS
2009-03-19 17:24 . 1998-06-17 14:43 246,784 --a------ c:\windows\UN160407.EXE
2009-03-19 17:13 . 2009-03-19 17:13 <DIR> d-------- c:\programme\Common Files
2009-03-19 15:05 . 2009-03-19 15:05 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Brother
2009-03-19 15:04 . 2009-03-19 15:04 416 --a------ c:\windows\BRWMARK.INI
2009-03-19 15:04 . 2009-03-19 15:04 34 --a------ c:\windows\system32\BD2150N.DAT
2009-03-19 12:49 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2009-03-19 12:46 . 2009-03-19 12:46 <DIR> d-------- c:\windows\system32\XPSViewer
2009-03-19 12:46 . 2009-03-19 12:46 <DIR> d-------- c:\programme\Reference Assemblies
2009-03-19 12:46 . 2009-03-19 12:46 <DIR> d-------- c:\programme\MSBuild
2009-03-19 12:45 . 2009-03-19 12:45 <DIR> d-------- C:\1dca7ca99332ff13d620069ca7f5
2009-03-19 12:45 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll
2009-03-19 12:45 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll
2009-03-19 12:45 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-03-19 12:45 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll
2009-03-19 12:45 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll
2009-03-19 12:45 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll
2009-03-19 12:45 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-03-19 11:49 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-03-19 11:47 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-03-19 11:46 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-19 11:46 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-19 11:46 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-19 11:46 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-19 11:46 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-03-19 11:46 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-03-19 11:46 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-03-19 11:45 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-03-19 11:45 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-03-19 11:43 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll
2009-03-19 11:43 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2009-03-19 11:43 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2009-03-19 11:43 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-03-19 11:43 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2009-03-19 11:42 . 2009-03-19 11:42 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator\UserData
2009-03-19 08:54 . 2009-03-20 12:22 <DIR> d-------- C:\Admin
2009-03-17 07:09 . 2009-03-12 15:36 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-03-17 07:09 . 2009-03-12 15:25 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-03-17 07:09 . 2009-03-12 15:25 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-03-17 07:09 . 2009-03-20 12:27 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-03-17 07:09 . 2009-03-20 10:44 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-03-17 07:09 . 2009-03-20 11:00 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-03-17 07:09 . 2009-03-12 15:25 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-03-17 07:09 . 2009-03-19 15:05 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-03-17 07:09 . 2009-03-20 11:06 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-03-13 09:18 . 2009-03-20 10:57 <DIR> d-------- c:\windows\system32\de-de
2009-03-13 09:17 . 2009-03-13 09:17 <DIR> d-------- c:\windows\ServicePackFiles
2009-03-13 09:17 . 2008-04-14 07:52 294,912 -----c--- c:\windows\system32\dllcache\dlimport.exe
2009-03-13 09:15 . 2006-12-29 00:31 19,569 --a------ c:\windows\002715_.tmp
2009-03-13 09:11 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-03-13 08:40 . 2009-03-13 08:40 <DIR> d-------- c:\programme\Foxit Software
2009-03-13 08:40 . 2009-03-13 08:40 <DIR> d-------- C:\Program Files
2009-03-13 08:33 . 2009-03-13 08:33 0 --a------ c:\windows\nsreg.dat
2009-03-13 08:02 . 2009-03-19 17:12 660 --a------ c:\windows\ODBC.INI
2009-03-13 08:02 . 2009-03-13 08:02 63 --a------ c:\windows\mdm.ini
2009-03-13 08:01 . 2009-03-20 08:13 <DIR> d-------- c:\windows\ShellNew
2009-03-13 08:00 . 2009-03-13 08:00 <DIR> d-------- c:\dokumente und einstellungen\bfs\Anwendungsdaten\Microsoft Web Folders
2009-03-13 07:58 . 2009-03-20 12:16 <DIR> d-------- c:\windows\system32\config\systemprofile\Anwendungsdaten\VMware
2009-03-13 07:57 . 2009-03-13 07:57 <DIR> d-------- c:\windows\system32\Lang
2009-03-13 07:57 . 2009-03-13 07:57 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2009-03-13 07:57 . 2009-03-13 07:57 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2009-03-13 07:56 . 2008-04-14 00:47 83,072 --a------ c:\windows\system32\drivers\wdmaud.sys
2009-03-13 07:56 . 2008-04-14 00:15 52,864 --a------ c:\windows\system32\drivers\dmusic.sys
2009-03-13 07:56 . 2006-08-01 15:02 49,152 --a------ c:\windows\system32\ChCfg.exe
2009-03-13 07:56 . 2008-04-14 00:15 6,272 --a------ c:\windows\system32\drivers\splitter.sys
2009-03-13 07:56 . 2007-11-14 15:18 553 --a------ c:\windows\USetup.iss
2009-03-13 07:55 . 2009-03-13 07:55 <DIR> d-------- c:\programme\Realtek
2009-03-13 07:16 . 2009-03-13 07:54 <DIR> d-------- c:\dokumente und einstellungen\bfs\Anwendungsdaten\VMware
2009-03-13 07:14 . 2001-08-17 13:53 4,992 --a------ c:\windows\system32\drivers\loop.sys
2009-03-13 07:14 . 2001-08-17 13:53 4,992 --a--c--- c:\windows\system32\dllcache\loop.sys
2009-03-13 07:05 . 2009-03-20 12:16 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\VMware
2009-03-13 07:05 . 2009-03-19 08:51 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware
2009-03-13 07:05 . 2007-09-06 14:40 135,168 --a------ c:\windows\system32\vmnat.exe
2009-03-13 07:05 . 2007-09-06 14:40 106,496 --a------ c:\windows\system32\vmnetdhcp.exe
2009-03-13 07:05 . 2007-09-06 14:40 15,616 --a------ c:\windows\system32\drivers\vmnetuserif.sys
2009-03-13 07:05 . 2007-09-06 14:40 9,600 -ra------ c:\windows\system32\drivers\vmnetadapter.sys
2009-03-13 07:05 . 2007-09-06 14:40 5,120 -ra------ c:\windows\system32\vnetinst.dll
2009-03-13 07:04 . 2007-09-06 14:40 364,631 --a------ c:\windows\system32\vnetlib.dll
2009-03-13 07:04 . 2007-09-06 14:40 10,240 -ra------ c:\windows\system32\drivers\vmnet.sys
2009-03-13 07:04 . 2009-03-13 07:04 1,024 --a------ C:\.rnd
2009-03-13 07:01 . 2009-03-13 07:01 <DIR> d-------- c:\programme\Gemeinsame Dateien\VMware
2009-03-13 07:00 . 2009-03-13 07:00 <DIR> d-------- C:\Virtual Machines
2009-03-13 07:00 . 2009-03-13 07:00 <DIR> d-------- c:\programme\VMware
2009-03-13 06:57 . 2009-03-13 06:57 0 --a------ c:\windows\ativpsrm.bin
2009-03-13 06:54 . 2009-03-20 08:42 <DIR> d--h----- c:\programme\InstallShield Installation Information
2009-03-13 06:54 . 2009-03-13 06:54 <DIR> d-------- c:\programme\ATI Technologies
2009-03-13 06:53 . 2009-03-20 09:50 <DIR> d-------- c:\programme\Gemeinsame Dateien\InstallShield

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-13 06:55 315,392 ----a-w c:\windows\HideWin.exe
2009-03-12 15:42 --------- d-----w c:\programme\Boot-US
2009-03-12 14:39 --------- d-----w c:\programme\microsoft frontpage
2009-03-12 14:38 --------- d-----w c:\programme\Online-Dienste
2009-03-12 14:37 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\programme\Realtek\Audio\InstallShield\AzMixerSel.exe" [2006-07-17 53248]
"SystemMessageHG"="c:\programme\RDT Global\HDGUARD\\HDStat.exe" [2004-08-19 1499648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-26 c:\windows\RTHDCPL.exe]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2008-11-10 65544]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Danware Data\\NetOp School\\STUDENT\\Nstdw32.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1540:TCP"= 1540:TCP:vqzmnx

R0 IFWDHKXP;IFWDHKXP;c:\windows\system32\drivers\ifwdhkxp.sys [2004-08-27 52224]
R1 NHostNT1;NetOp Driver 1 ver. 9.00 (2006144);c:\windows\system32\drivers\NHOSTNT1.SYS [2009-03-20 91408]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-20 108289]
R2 HDStatSrv_Form;HDStatSrv;c:\programme\RDT Global\HDGUARD\HDSrv.exe [2003-06-20 445952]
R2 NetOp Host for NT Service;NetOp Helper ver. 9.00 (2006144);c:\programme\Danware Data\NetOp School\STUDENT\NHOSTSVC.EXE [2009-03-20 1323280]
R2 vmserverdWin32;VMware Registration Service;c:\programme\VMware\VMware Server\vmserverdWin32.exe [2007-09-06 1650781]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
R3 NHOSTNT3;NetOp Driver 3 ver. 9.00 (2006144) (NHOSTNT3);c:\windows\system32\drivers\NHOSTNT3.SYS [2009-03-20 3216]
S2 gvfnp;Boot Security;c:\windows\system32\svchost.exe -k netsvcs [2006-02-28 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
gvfnp
.
Inhalt des "geplante Tasks" Ordners

2009-03-20 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = 10.3.1.2:8080
uInternet Settings,ProxyOverride = <local>
TCP: {0DF9CD0A-8168-49DE-B2C8-405513B0719F} = 10.3.5.38
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\51q0ww2g.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-20 12:27:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gvfnp]
"ServiceDll"="c:\windows\system32\ylann.dll"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(612)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-20 12:27:57
ComboFix-quarantined-files.txt 2009-03-20 11:27:55

Vor Suchlauf: 12 Verzeichnis(se), 18.262.941.696 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 18,301,685,760 Bytes frei

213


Vielen Dank für jede Art von Hilfe im Voraus

Zitat:

Zitat von troja-opfer

1. wenn ich die Daten sichere und sicherheitshalber noch mal durchscanne; sind diese dann sauber?
2. Der Trojaner sitzt in den Startdateien, erzeugt beim Start diese twext.exe (die man mal im Ordner system32 findet, mal nicht), die dann als aktiver Prozess läuft und irgendwie das Fenster für Angriffe öffnet - versteh ich das richtig? Wenn ich nun bei dedem Start den Prozess sofort beende, ist dann nicht alles wie vorher und eigentlich sicher?
3. Müsste eine Säuberung nicht auch klappen, wenn ich eine Systemwiederherstellung mit einem früheren Wiederherstellungspunkt (vor Befall) mache?

Zu 1. ) Kannst du schon machen, bei Datensicherungen solltest du dich jedoch vor exe Datein hüten. Keinesfalls draufklicken wenn du nicht genau weisst um was es sich handelt, sonst geht u.U. die ganze Sache wieder los.

Zu 2.) Leider ist die Sache ein wenig komplexer. Die Anwesenheit des Droppers ist die eigendliche Sache.

Ich werd mal versuchen die ganze Sache einfach zu halten, auch wenn mich die Kompetenzler anschließend in der Luft zerreissen werden.

Ein Dropper ist ein kleines Programm welches dazu dient einen Computervirus "freizulassen". Computerviren brauchen den Dropper um sich aktivieren, ausführen zu können.

In deinem Fall können wir nur spekulieren, aber die Anwesenheit der twext.exe ( übrigens ein Windows file welches jetzt wahrscheinlich schon durch den Virus gelöscht wurde ) deutet auf einiges hin. In diesem Zusammenhang ist die twext.exe schon bei Kaspersky aufgefallen als:
Trojan-Spy.Win32.Zbot.gar
Backdoor.Win32.IRCBot.grs
Trojan.Win32.Buzus.angb
Trojan-Spy.Win32.Zbot.ffd
Trojan-Spy.Win32.Zbot.gal
Trojan-Spy.Win32.Zbot.gaq
Trojan-Spy.Win32.Zbot.gga
Trojan-Spy.Win32.Zbot.ghq
Trojan-Spy.Win32.Zbot.giy
Trojan-Spy.Win32.Zbot.gqv
Trojan-Spy.Win32.Zbot.hkp
Trojan-Spy.Win32.Zbot.idq
Trojan-Spy.Win32.Zbot.lsh
Worm.Win32.Pinit.gen
Packed.Win32.PolyCrypt.d
Trojan.Win32.Agent.asdi

Mach dir den Spaß und recherchiere mal einen der Dinger bei Kaspersky und lese dir durch welchen Schaden sie anrichten....da wirds einem anders.

Also die twext.exe ist eigendlich gar nicht das Problem, Frage ist und bleibt was sich dahinter verbirgt. Aber hier sehen wir schon, was wir zu erwarten haben einen sogenannten ZBot.

Zbots stehlen alles was ihnen unter die Finger kommt. Bankdaten, Ebay etc.etc. Du solltest deshalb schon jetzt deine Bank informieren wenn du Onlinebanking betreibst, halte dein Konto im Auge dann. Einen Ebay account würde ich direkt löschen und später einen Neuen erstellen.

Sie verfügen zum Teil über Backdoor Eigenschaften. Soll heißen, deine Tür ist offen und man schaut in dein Haus rein. Unter Umständen ist das schon gar nicht mehr dein System und andere Leute entscheiden darüber. Vieleicht setzen sie es ja schon als Server ein um ihren Kram zu verbreiten.-und da ist Spamming noch die harmloseste Sache.

Vieleicht verbirgt sich noch etwas mehr, ich erwarte eigendlich noch einen rootkit.

B]Erklärung Rootkit:[/B]
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Erst wenn diese Tarnung fällt, ist der Virus verwundbar...

Mit diesen Bots ist nicht zu spassen, da sie ständig andere Schadware aus dem Internet nachladen können.

Fazit: Wenn die twext.exe beseitigt ist, heisst das nicht, dass dein System wieder sauber und sicher ist. Wir wissen im Prinzip zum jetzigen zeitpunkt nicht womit wirs zu tun haben und was bis jetzt bereits auf deinen Computer aufgeladen wurde. Vermutlich werden wir auch nicht in der Lage sein, dass jemals herauszufinden. Das beseitigen würde dir nur Sicherheit vorspielen, ob du dann auch wirklich sicher bist weiss niemand. - und Sicherheit möchte ich dir hier nicht vorspielen.

Bevor mich die Moderatoren jetzt hier steinigen aufgrund meiner einfachen Darstellung der Dinge, - Neuaufsetzen ist die sicherste Lösung.......siehe mein Motto


@1605mr65 ------> du musst einen eigenen Beitrag öffnen, da wird dir sicherlich geholfen

Noch was zum Lesen:


Siehe hierzu die offizielle Stellungnahme von Microsoft (englisch)