unbekanntes virus problem bitte um hilfe

Theodorlei · 27.05.2009, 17:34

hallo ich habe neuerdings eine exe ausgeführt danach bekam ich eine virus meldung von anti vir über eine schädliche datei im windows ordner c://windows ich klickte auf löschen und dann gleich wieder die gleiche meldung über die gleiche eig. nun bereits gelöschte datei und das mit insgesamt 3 dateien seitdem keine virenmeldungen mehr trotzdem hab ich panik dass da noch etwas übriggeblieben ist..
leider habe ich mir nicht aufgeschrieben wie diese dateien hießen und welche virusart das war -.-'

ich weiß jetzt nicht ob ich noch von irgendeinem virus befallen bin oder das problem bereits gelöst ist

hier habe ich mal den HijackThis code:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:39, on 27.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Lachesis\razerhid.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Programme\Xfire\xfire.exe
D:\Programme\Lachesis\razertra.exe
D:\Programme\Lachesis\razerofa.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=101764&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Programme\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Lachesis] D:\Programme\Lachesis\razerhid.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\RunOnce: [MessengerPlusLiveUninstall] "C:\DOKUME~1\Theodor\LOKALE~1\Temp\MsgPlusUninstall.exe" /Cleanup
O4 - HKCU\..\Run: [IDMan] D:\Programme\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [mstwain32] C:\WINDOWS\mstwain32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Skype.lnk = ? (User 'SYSTEM')
O4 - S-1-5-18 Startup: Xfire.lnk = D:\Programme\Xfire\xfire.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Skype.lnk = ? (User 'Default user')
O4 - .DEFAULT Startup: Xfire.lnk = D:\Programme\Xfire\xfire.exe (User 'Default user')
O4 - Startup: Skype.lnk = ?
O4 - Startup: Xfire.lnk = D:\Programme\Xfire\xfire.exe
O8 - Extra context menu item: Download aller Links mit IDM - D:\Programme\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV-Videoinhalt mit IDM - D:\Programme\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download mit IDM - D:\Programme\Internet Download Manager\IEExt.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1213289939592
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 7793 bytes

john.doe · 27.05.2009, 17:45

Hallo und

Hast du dich mit einem Türken angelegt?

1.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

O4 - HKCU\..\Run: [mstwain32] C:\WINDOWS\mstwain32.exe

=> Fix checked => Neustart

2.) Lade die Datei

Code:

ATTFilter

C:\WINDOWS\mstwain32.exe

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

ciao, andreas

Theodorlei · 27.05.2009, 18:12

hab fix checked gemacht und neustart... da ist aber keine datei namens mstwain.exe im windows ordner?!? also ich kann se mit search funktion und einfachem nachschaun net finden..

ps: was meinst du damit ob ich mich mit nem türken angelegt hab? ist der virus oder so türkisch?

john.doe · 27.05.2009, 18:28

Das ist kein Virus, das ist/war ein RAT aus der Türkei. h**p://www.turkojan.com/

RAT => Remote Administration Tool ? Wikipedia

Jetzt ist nur noch die Frage, ob er jemals aktiv war, aber nach deiner Schilderung war er aktiv.

Bitte beantworte meine Fragen.

ciao, andreas

Theodorlei · 27.05.2009, 18:35

äähm.. nein ich hab mich net mit einem türken angelegt^^ vllt war die datei von nem türken geschrieben

oda welche frage meinst du?

john.doe · 27.05.2009, 18:58

Sorry, habe dich mit jemandem verwechselt. Du hattest ein RAT auf deinem Rechner und aus deiner Beschreibung:

Zitat:

hallo ich habe neuerdings eine exe ausgeführt danach bekam ich eine virus meldung von anti vir über eine schädliche datei im windows ordner c://windows ich klickte auf löschen und dann gleich wieder die gleiche meldung über die gleiche eig. nun bereits gelöschte datei und das mit insgesamt 3 dateien seitdem keine virenmeldungen mehr trotzdem hab ich panik dass da noch etwas übriggeblieben ist..

lese ich heraus, das er aktiv war, d.h. jemand hatte vollen Zugriff auf deinen Rechner. Was der gemacht hat, kann dir niemand sagen, ausser er selbst. Ich bereinige auch Backdoors, ich habe sogar mal einen RAT bereinigt, allerdings nur, weil ich sicher wußte, dass ich es mit einem Skriptkiddie zu tun hatte. Bei dir kann ich nur raten.

Hier steht warum: http://www.trojaner-board.de/65029-t...tml#post394394

Hier steht wie: http://www.trojaner-board.de/51262-a...sicherung.html

ciao, andreas

unbekanntes virus problem bitte um hilfe

Log-Analyse und Auswertung: unbekanntes virus problem bitte um hilfe