Hallo alle zusammen,

ich poste hier zum ersten Mal und hoffe, die Regeln des Forums beachtet zu haben. Ich danke jetzt schon für Eure Mühe…

Folgendes: zunächst lief mein Laptop sehr schlecht. Es kamen vor 2 Tagen einige Virenmeldungen, und seitdem geht gar nix mehr. Der Rechner läßt sich nur im SafeModus starten, ich kann nicht online gehen, meine Antivirus Avira geht nicht mehr, etc.

Nun habe ich versucht, die drei Schritte CCleaner, Malwarebytes und Hijack-This durchzuführen. Malwarebytes kann ich nicht starten, es passiert einfach rein gar nichts. Ich habe die die Hijack-Files unten eingefügt.
Ich habe auch bereits versucht mit Combofix zu arbeiten, aber auch dieses Programm läßt mein Rechner nicht laufen (Es kommt die Ansage: Combofix: ALERT! It is NOT SAFE to continue! The contens of the the ComboFix package has been compromised. You may be infected with a file patching virus (Virut).

Ich bin total verzweifelt und hoffe, dass mir irgendjemand helfen kann. Nicht einmal eine Systemwiederherstellung läßt sich durchführen….

Schon mal vielen Dank für Eure Hilfe.

__________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:01:54, on 14/5/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Microsoft Office\Office12\WINWORD.EXE
F:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://eeepc.asus.com/global
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://eeepc.asus.com/global
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\509.exe
O1 - Hosts: 82.98.231.89 url.adtrgt.com
O1 - Hosts: 82.98.231.89 googleads2.gdoubleclick.net
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: 218538 helper - {5e5efa8f-9f53-418e-b78e-44866667a404} - C:\WINDOWS\system32\218538\218538.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: 796525 helper - {e7f15ac4-e0a9-43f0-921b-70dfea621220} - C:\WINDOWS\system32\796525\796525.dll
O4 - HKLM\..\Run: [2670] C:\adspl.exe
O4 - HKLM\..\Run: [sowizokuyo] Rundll32.exe "C:\WINDOWS\system32\getovojo.dll",s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CPM3b9cb8fd] Rundll32.exe "c:\windows\system32\dewulale.dll",a
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Archivos de programa\DNA\btdna.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [A00FC2F8C7.exe] C:\WINDOWS\TEMP\_A00FC2F8C7.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Aline Kemp Görlich\reader_s.exe
O4 - HKCU\..\Run: [SYS32DLL] SYS32DLL
O4 - HKCU\..\Run: [12ZFG94-F641-2SF-K31P-5N1ER6H6L2] C:\RECYCLER\S-1-5-21-8537965147-2510865023-379378912-5547\service.exe
O4 - HKCU\..\Run: [12CFG515-K641-55SF-N66P] C:\RECYCLER\S-1-5-21-0243636035-3055115376-381863306-1556\pqlmq.exe
O4 - HKCU\..\Run: [A00FDAA93B.exe] C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00FDAA93B.exe
O4 - HKCU\..\Run: [A00F1239FB3.exe] C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00F1239FB3.exe
O4 - HKCU\..\Run: [A00F1B224.exe] C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00F1B224.exe
O4 - HKCU\..\Run: [A00F2DA7BE.exe] C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00F2DA7BE.exe
O4 - HKCU\..\Run: [A00FAA8C18.exe] C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00FAA8C18.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Enviar a Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0540B3DE-C0FA-4879-8C25-629882EAC972}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D1DE9CA-190F-42B2-9E82-36426243835A}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\..\{74BB57D4-93C6-4122-9905-EA4B639F0E6D}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CS1\Services\Tcpip\..\{0540B3DE-C0FA-4879-8C25-629882EAC972}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\warihagi.dll c:\windows\system32\dewulale.dll
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
O20 - Winlogon Notify: __c009F210 - C:\WINDOWS\system32\__c009F210.dat
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dewulale.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dewulale.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Servicio de transferencia inteligente en segundo plano (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Windows Network Data Management System Service (bndmss) - Unknown owner - C:\WINDOWS\system32\bndmss.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FCI (fci) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: IviRegMgr - InterVideo - C:\Archivos de programa\Archivos comunes\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

--
End of file - 8499 bytes

Hi,

ich schaue es mir an, wenn es wirklich virut ist, dann musst Du eh Neuaufsetzen..

chris

Hi,

meine Liebe Güte, der ist nicht mehr zu retten...
Mit gut Glück bekommen wir es so hin, das vielleicht der Rechner die Bereinigung überlebt und Du noch ein Backup machen kannst...
Ich kann nicht garantieren dass der Rechner nach der Bereinigung noch läuft...

Achtung
Deine gesamte Internetverbindung wird über die Urkaine geroutet, sofort von einem sauberen Rechner aus alle Passwörter ändern (ebay, banking, email, ..), ggf. sperren lassen.

So,

Du hast sowohl Combofix undd MAM bereits runtergeladen, versuche im abgesicherten Modus nachdem Du das hier alles durchhast, die Tools neu zu laden und sie bereits im Download-Popup umzubennen, z.B. auf Test.com.

Dann bitte offline gehen und die tools durchlaufen lassen, aber zuerst das hier im abgesicherten Modus (Avenger downloaden, siehe unten)...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\218538\218538.dll
C:\adspl.exe
C:\WINDOWS\SYSTEM32\crypts.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung,
  
  alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c009F210

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|CPM3b9cb8fd
 
Files to delete:
C:\WINDOWS\system32\218538\218538.dll
C:\WINDOWS\system32\796525\796525.dll
C:\adspl.exe
C:\windows\system32\dewulale.dll
C:\WINDOWS\TEMP\_A00FC2F8C7.exe
C:\Documents and Settings\Aline Kemp Görlich\reader_s.exe
C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00FDAA93B.exe
C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00F1239FB3.exe
C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00F1B224.exe
C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00F2DA7BE.exe
C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00FAA8C18.exe
C:\WINDOWS\SYSTEM32\crypts.dll
C:\WINDOWS\system32\warihagi.dll
c:\windows\system32\dewulale.dll
C:\WINDOWS\system32\__c009F210.dat


Folders to delete:
C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: 218538 helper - {5e5efa8f-9f53-418e-b78e-44866667a404} - C:\WINDOWS\system32\218538\218538.dll
O2 - BHO: 796525 helper - {e7f15ac4-e0a9-43f0-921b-70dfea621220} - C:\WINDOWS\system32\796525\796525.dll
O4 - HKLM\..\Run: [CPM3b9cb8fd] Rundll32.exe "c:\windows\system32\dewulale.dll",a
O4 - HKCU\..\Run: [A00FC2F8C7.exe] C:\WINDOWS\TEMP\_A00FC2F8C7.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Aline Kemp Görlich\reader_s.exe
O4 - HKCU\..\Run: [SYS32DLL] SYS32DL
O4 - HKCU\..\Run: [A00FDAA93B.exe] C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00FDAA93B.exe
O4 - HKCU\..\Run: [A00F1239FB3.exe] C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00F1239FB3.exe
O4 - HKCU\..\Run: [A00F1B224.exe] C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00F1B224.exe
O4 - HKCU\..\Run: [A00F2DA7BE.exe] C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00F2DA7BE.exe
O4 - HKCU\..\Run: [A00FAA8C18.exe] C:\DOCUME~1\ALINEK~1\CONFIG~1\Temp\_A00FAA8C18.exe
O23 - Service: FCI (fci) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0540B3DE-C0FA-4879-8C25-629882EAC972}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D1DE9CA-190F-42B2-9E82-36426243835A}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\..\{74BB57D4-93C6-4122-9905-EA4B639F0E6D}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CS1\Services\Tcpip\..\{0540B3DE-C0FA-4879-8C25-629882EAC972}: NameServer = 85.255.112.25,85.255.112.165
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165
         

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

Chris

Hi Chris,

zunächst vielen Dank für die Hilfe. Ich bin aber leider der mega-idiot mit Computern. Aber ich werde Deinen Post an einen Freund von mir schicken, der mir vielleicht helfen kann.....backup meiner Dateien hatte ich Gott sei Dank 2 Tage vor meinem Laptop-GAU bereits gemacht....

Hi,

als allererstes den Rechner vom Internet trennen und unbedingt die Passwörter von einem sauberen Rechner aus ändern!

Meldet Euch wenn ihr durch sein....

chris