Hallo liebe Trojaner-Community,
Bis vor kurzem Benutzte ich noch Das alte Antivir, dieses stellte bei jedem Start den Trojaner TR/CRYPT.XPACK.GEN.
Jetzt habe ich gerade das neue Antivir installiert, dieses stellte nun folgendes Fest:
Die Datei 'C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVSCAN-20090323-183210-008E28EC\AVSCAN-00000003.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/PCK.Tdss.F.1770' [trojan].
Durchgeführte Aktion(en):
(Vom Scanner)
In der Datei 'C:\Windows\System32\gaopdxjnetrkufheesmpsdpkecdxirmvgxxiqu.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.F.1770' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
(Vom Guard)

Hier ist das HijackThis file:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:37:02, on 23.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Philips Display\SmartControl II\DTHtml.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Common Files\Portrait Displays\Shared\HookManager.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Hama\Penalizer Gaming Keyboard\MagicKey.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DT PHL] C:\Program Files\Common Files\Portrait Displays\Shared\DT_startup.exe -PHL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Penalizer Gaming Keyboard Config.lnk = C:\Program Files\Hama\Penalizer Gaming Keyboard\MagicKey.exe
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Common Files\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Portrait Displays SDK Service (PdiService) - Portrait Displays, Inc. - C:\Program Files\Common Files\Portrait Displays\Drivers\pdisrvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 5994 bytes



Das Malwarebyte Programm stratet bei mir leider nicht.CCleaner ist bereits durchgelaufen.

Kann mir jemand von euch bei meinem Problem helfen oder habe ich ihn bereits beseitigt?


Liebe Grüße wünscht Bagano

Bennene Malewarebytes mal in test.exe um. Wenn nicht versuchs mit test.com.

Fixe mit HiJackThis:

Code: Alles auswählenAufklappen

ATTFilter

 	O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
         

Lade folgende Dateien, wenn sie noch vorhanden sind, bei VirusTotal - Free Online Virus and Malware Scan hoch und poste das komplette ergebniss mit allen zeichen und nummern in code tags (das # symbohl über dein Beitragfenster)

Code: Alles auswählenAufklappen

ATTFilter

C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVSCAN-20090323-183210-008E28EC\AVSCAN-00000003.dll

C:\Windows\System32\gaopdxjnetrkufheesmpsdpkecdxi rmvgxxiqu.dll
         

Poste danach ein Malewarebyteslog (wenn es nach dem umbennenen funktioniert) und ein SUPERAntiSpyware log.

Außerdem stellst du dein Antivir auf Aggresieve einstellungen:
http://www.trojaner-board.de/54192-a...tellungen.html und machst einen Kompletten Systemscann. Poste den Report hier in Codetags.


Edit: Ich nehme an du hast hier bereits gepostet:

http://forum.chip.de/firewall-sicher...t-1150928.html

Die raten dir neuaufsetzen, was man bei Backdoors unbedingt machen sollte. Egal was passiert du musst dir klar sein das dein System ab jetzt nichtmehr sicher ist. Egal was du tust JEDE datei auf deinem rechner kann verändert worden sein. Ab jetzt kein OnlineBanking mehr oder andere sachen.

Ändere alle deine Passwörter von einem anderen rechner der SAUBER ist. Änderst du sie von diesem bringt es nichts.

Wenn du dich wieder wo einloggst kann das Passowrt bereits wieder gelesen werden.


EDIT: Bitte danach noch dashier durchlaufen lassen -->>
http://www.pcwelt.de/downloads/daten...ght/index.html

Du solltest unbedingt eine Datensicherung vornehmen, es könnte jederzeit sein das dein System nichtmehr funktioniert.

Also hat es im Prinzip gar keinen Sinn hier jetzt alle möglichen Antiviren /trojaner Programme durchlaufen zu lassen , denn ein neu aufsetzen ist sowieso erforderlich?

Falls ja werde ich die ganzen Schritte weglassen und mir dann wenn vorhanden einen Leitfaden zur Neuaufsetzung des Systems besorgen.

Vielen Dank.

Also ja es wäre am besten. Ich bin leider kein so ein Perfekter Profi der es dir mit 100% sicherheit versichern kann. Doch ich habe gegoogelt und alles deutet auf ein Backdoor mit rootkit hin. Das Rootkit versteckt den Backdoor der weitere schädlinge ladet.


Wenn es dir extrem viel aufwand macht, das neu aufsetzen warte lieber bis hier noch jemand anders antwortet. Ich würde wenn du willst jemanden anschreiben.

Wenn es dir nicht so viel aufwand ist lade vorher noch die http://www2.gmer.net/mbr/mbr.exe runter und führe Sie aus und poste das logfile hier.

Erstmal möchte ich dir vielmals für deine Hilfe danken.
Doch ich würde mich auch freuen eine zweitze einung hierzu einholen zu können, wenn du also jemanden kontaktieren könntest, würde ich mich sehr freuen.

Gruß Bagano

So habe jetzt mit jemand geredet. Dieser hat das selbe gesagt. Du hast mehre Rootkits mit Backdoor Funktion drauf. Eine Bereinigung ist möglich aber dazu müssen wir jetzt viele Scanns machen. Dein System ist wie ich schon sagte ab jetzt und bis zum Neuaufsetzten unsicher. Man kann nur das Risiko das noch etwas darauf ist minimieren. Um so mehr Scanner NACH der bereinigung nichts mehr finden um so besser ist die Chanche. Aber auch das der bereinigung solltest du immer, oder jedenfalls die nächte Zeit danach deine Kontoauszüge (wenn du Onlinebanking machst) kontrollieren. Außerdem auch immer deine Accounts Kontrolieren. Vorallem Ebay, Amazon usw.

Wenn du bereinigen willst arbeite alle Scanns von oben ab.