Seit einiger Zeit dauert es bei mir ewig, bis mein Rechner hochgefahren ist. Er will sich nicht defragmentieren lassen (bleibt bei etwa 70% stehen und hängt dann wie verrückt) und minimiert Programme im die im Vollbildmodus laufen in Abständen von ca. 10-15 Minuten. Vorhin habe ich mir auf Empfehlung eines Freundes mal Avira gezogen, durchlaufen und einige Viren löschen lassen. Nun bekomme ich immer wieder Meldungen wie 'In der Datei 'C:\WINDOWS\system32\.6706716b8f1f1c36\6706716b8f1f1c36.core.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Iceroe.128000A' [trojan] gefunden.'. Im Internet habe ich nichts darüber gefunden, löschen lässt es sich bisher nicht.


Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:16:51, on 22.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\twext.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by119fd.bay119.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140872078265
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140872061390
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader4.cab?nocache=1202938681
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/l2/bin/cortvrml.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: talkto - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

Lass mal bitte Malwarebytes drüberlaufen und poste das log hier.
Arbeite halt genau das ab, was hier unter Punkt 2 aufgelistet wird: http://www.trojaner-board.de/69886-a...-beachten.html

Hat die Überschrift "Bitte diese Programme nacheinander ausführen:"

Dein System ist höchstwahrscheinlich von einem "Zbot" befallen, vermeide unbedingt Onlinebanking, Ebay und andere Onlineaktivitäten an diesem Rechner, am besten du gehst von einem anderen Rechner Online, solange es nicht klar ist.

Lade "C:\Windows\System32\twext.exe" bei VirusTotal.com oder Jotti.org hoch. Wenn es der ZBot ist, solltest du möglichst bald Neuaufsetzen und vorher deine Daten sichern.

Befolge erstmal die Anweisungen von Angel21 und führe im Anschluss SUPERAntiSpyware aus, damit du erstmal mit dem Rechner vernünftig arbeiten kannst. Versuch aber dann, wenn du die Möglichkeit hast, all deine Onlinepasswörter zu ändern und zwar von einem sauberen Rechner aus. Poste hier alle Logs, von den Programmen, die du benutzt.

Vielen Dank vorab schonmal für eure raschen Antworten. Nach sechs Stunden und fünf Minuten bin ich jetzt mit Malwarebytes durch. Die anderen Programme werde ich gleich auchnoch runterladen und laufen lassen, hier habt ihr aber erstmal den Log:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1885
Windows 5.1.2600 Service Pack 3

23.03.2009 01:43:46
mbam-log-2009-03-23 (01-43-46).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 172636
Laufzeit: 6 hour(s), 5 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\twext.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\*******\Desktop\Weisseradler-Script 1.071\Weisseradler-Script.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\wr.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\myalbum2007.zip (Backdoor.Bot) -> Quarantined and deleted successfully.

Mit SUPERAntiSpyware bin ich nun auch durch, hier der Log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/23/2009 at 11:51 AM

Application Version : 4.25.1014

Core Rules Database Version : 3809
Trace Rules Database Version: 1763

Scan type : Complete Scan
Total Scan Time : 09:39:04

Memory items scanned : 437
Memory threats detected : 0
Registry items scanned : 6026
Registry threats detected : 1
File items scanned : 103871
File threats detected : 3

Trojan.NewDotNet
HKU\S-1-5-21-1390067357-261903793-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}

Trojan.Downloader-Gen/A
C:\PROGRAMME\EBESUCHER RESTARTER\A.EXE
C:\PROGRAMME\MOZILLA FIREFOX\A.EXE

RelevantKnowledge Spyware Component
C:\SYSTEM VOLUME INFORMATION\_RESTORE{15433C11-EE0A-4EB0-83C5-BD01FB7E5CD5}\RP774\A0599773.DLL

Das sieht sehr schlecht aus, du solltest wirklich Neuaufsetzen und zwar möglichst bald. Diese Backdoorinfektion ist übel und zudem wohl schon länger auf deinem System, denn du sagtest ja, dass es seit einiger Zeit so ist.

Bevor du neuinstallierst, sichere deine Daten. Allerdings keine ausführbaren Dateien. Lese dir die Anleitung zum Neuaufsetzen gut durch.

Avira hast du ja bereits. Mach ein Update, stelle die Einstellungen auf Aggressiv und lass ALLE deine Partitionen scannen. Dies machst du, bevor du deine Daten sicherst.

Mbr.exe
Lade dir Mbr.exe und speichere sie auf dem Desktop. Mbr.exe prüft deinen Master Boot Record auf Viren.

Wenn dort folgendes steht:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
         

Dann ist alles okay, ansonsten poste hier die Logfile, die auf dem Desktop abgelegt wurde.

Combofix
Lade dir schonmal Combofix Dort ist ein Leitfaden, wie es benutzt wird. Führe es noch nicht aus, mach das erst kurz bevor du mit dem Neuaufsetzen beginnst und du alles gesichert hast. (Wichtig ist, dass du alle Laufwerke, Cams, Mp3-Player etc. Anschließt, bevor du es startest). Damit werden weitere mögliche Wiederinfektionen durch Autorunviren verhindert.

mfg, Kaos

Machst du Onlinebanking, Ebay oder ähnliches? Der Zbot stiehlt Passwörter und andere sensible Informationen. Deshalb ist es wichtig, alle Passwörter zu ändern.

kurz reinspring

Wenn du Onlinebanking, eBay, Amazon etc betreibst und du stellst Auffälligkeiten fest, bitte sofort die bank informieren und das Konto sperren lassen. Deine Datentransfers können mitgelesen werden!

rausspring mit dem Tipp am Rande



Ich drücke Dir die Daumen

Nein, Onlinebanking und Ähnliches mache ich hier nicht. Mein Log von Mbr.exe sieht genau aus wie der unten, Avira lasse ich gleich nochmals durchlaufen. Neuaufsetzen ist eher schlecht.. Das hätte ich längst gemacht, wenn ich meine Daten irgendwo sichern könnte, für CDs etc. sind es wohl leider zu viele. Daher wäre ich euch dankbar, wenn ich es mit eurer Hilfe anders in den Griff bekommen könnte.

Meiner Meinung nach kommt hier nur eine Neuinstallation in Frage, denn dein System ist nicht mehr vertrauenswürdig (Technische Kompromittierung).

Wenn du keine Möglichkeit hast, deine Daten zu sichern, dann gehe nur noch online, wenn es notwendig ist, bis du halt deine Daten sichern kannst. Auch wenn alle Infektionen beseitigt sind, ist es nicht sicher, das nicht noch irgendwas auf dem Rechner ist, was dort nicht hingehört.

Superantispyware und Malwarebytes finden eine ganze Menge an Schadsoftware, aber eben nicht alles.

Rootkitsuche mit Gmer
Lade dir bitte gmer von gmer.net. Beende alle Programme und trenne dich vom Internet. Enpacke GMER auf dem Desktop, starte es und klicke auf Scan. Die Logfile lädst du bei http://www.materialordner.de/ hoch und postest den Link.

Ich denke nicht, das da noch ein Rootkit bei ist, aber man kann ja nie wissen, ob noch weiterer Mist nachgeladen wurde.

Ich hoffe mal, das du bald deine Daten sichern kannst, um wieder sicher am PC arbeiten zu können.

mfg, Kaos