Hallo an die Experten,

beim Routinescan wurden bei mir BackDoor.Tdss.179, Tool.Prockill, Trojan.MulDrop.24, Adware.EcoBar.1, Adware.Relevant.10 gefunden.

Bin ein notorischer "Sofwaresammler" so dass die infizierten Dateien im Wesentlichen nur "auf Lager" lagen.

Meine erster Impuls: Neu aufsetzen und Softwarelager löschen. Da dort die eine oder andere Perle vorhanden ist wäre es sehr schade drum. Daher möchte nun gerne auf Nummer-Sicher gehen und habe eure Anleitung abgearbeitet und die Protokolle unten eingefügt. Leider habe ich das mit den Code-Kästen nicht hinbekommen, sorry dafür.

Es wäre wirklich sehr nett, wenn sich mal jemand mit mehr Sachverstand als ich die Protokolle ansehen könnte. Vielen Dank schonmal im Voraus!

Gruss aus Hessen
H.

Installierte Software:
=======================================================================================
Installierte Software:
==========================================================================================================
1by1 Martin Pesch 1.6.7.0
7-Zip File Manager Igor Pavlov 4.65.0.0
Advanced Process Termination DiamondCS 4.20.0.0
Ant Renamer Antoine Potten 2.1.0.0
AnyDVD Application SlySoft, Inc. 6.5.4.9
AnyDVD Registration Tool SlySoft, Inc. 6.0.1.1
Ashampoo Photo Commander Nikolaus Brennig 6.0
Audacity® The Audacity Team 1.3.7.0
Audiobook Cutter Free Edition Philipp Henkel 1.2.1.14
AutoDVRconvert heimiko 1.3.0.1
Burning Studio ashampoo Technology GmbH & Co. KG 8.0.0.1
CCleaner Piriform Ltd 2.20.0.920
Combined Community Codec Pack 1.1.0.0
Defraggler Piriform Ltd 1.10.0.143
DirPrintOK Nenad Hrg - SoftwareOK.de 2.8.2.1
DVD Flick Dennis "Exl" Meuwissen 1.306.0734.0
DVD Shrink DVD Shrink 3.2.0.16
FFDShow The FFDShow Team 1.0.2133
Firefox Mozilla Foundation 3.0.11
FormatFactory Free Time 1.90.0.0
Free Audio Dub DVDVideoSoft Limited. 1.4.3.50
Free Studio Manager DVDVideoSoft Limited. 4.1.3.60
Free Video Dub DVDVideoSoft Limited. 1.4.3.50
GSpot Codec Information Appliance GSpot Appliance Corp, a unit of GSp0t Heavy Industries 2.7.0.1
HelpLauncher Elaborate Bytes AG 5.1.0.0
Intel(R) Matrix Storage Console Intel Corporation 8.8.0.1009
Java(TM) Platform SE binary Sun Microsystems, Inc. 6.0.140.8
JDownloader Launcher AppWork UG (haftungsbeschränkt) 3.0.0.0
MailStore deepinvent Software GmbH 3.0.2.2448
Merge MP3 Files The Shchuka's Place 0.1.10.42
Mozilla Thunderbird Mozilla Foundation 2.0.0.21
mp3DirectCut Martin Pesch 2.1.1.0
MP3Gain GUI Snelg Enterprises 1.02.0005.0
Mp3tag Florian Heidenreich 2.43.1.2
mpc-hc mpc-hc@Sourceforge 1.2.908.0
Nero MD5 Verifier Ahead Software AG 1.0.0.5
Norton AntiVirus Symantec Corporation 16.0.0.125
Norton Protection Center Symantec Corporation 2009.5.0.236
OpenOffice.org OpenOffice.org 3.1.9399
Paint.NET dotPDN LLC 3.36.3158.38068
PDF-XChange Viewer Tracker Software Products Ltd. 2.0.41.5
PDFCreator pdfforge h**p://w*w.pdfforge.org/ 0.09.0008.0
Revo Uninstaller VS Revo Group 1.8.3.0
Sandboxie Control tzuk 3.38.0.0
Sandboxie Start tzuk 3.38.0.0
Screamer Radio Steamcore.se 0.4.2.0
ShadowExplorer w*w.shadowexplorer.com 0.4.382.0
Shockwave Flash for Firefox Adobe Systems, Inc. 10.0.22.87
Shockwave Flash for Internet Explorer Adobe Systems, Inc. 10.0.22.87
SUMo KC Softwares 2.6.1.76
SysExporter NirSoft 1.51
TransTool pdfforge h**p://w*w.pdfforge.org/ 3.0.0.0
TV-Browser Martin Oberhauser, Til Schneider, Bodo Tasche, Ren� Mach, Michael Keppler 2.7.3.0
Universal Extractor GNU General Public License v2 1.6.0.0
Unlocker Cedrick Collomb 1.8.7
USB Vaccine Panda Security 1.0.0.19
VideoCacheView NirSoft 1.45
Virtual CloneDrive Elaborate Bytes AG 5.0.0.0
VirtualBox GUI Sun Microsystems, Inc. 2.2.2.0
VirtualCloneDrive Preferences Elaborate Bytes AG 5.4.3.2
XMedia Recode XMedia Recode 2.1.2.9



Malwarebytes' Anti-Malware 1.38
Database version: 2297
Windows 6.0.6002 Service Pack 2

17.06.2009 22:37:29
mbam-log-2009-06-17 (22-37-29).txt

Scan type: Full Scan (B:\|C:\|G:\|)
Objects scanned: 237261
Time elapsed: 44 minute(s), 49 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\Users\***\Rucksack\downloads\sumo.exe (Adware.Relevant) -> Quarantined and deleted successfully.
g:\Software\Sumo\sumo.exe (Adware.Relevant) -> Quarantined and deleted successfully.


DrWeb Log
================================================================================
sumo.exe/data002\data004 C:\Documents and Settings\***\Rucksack\sumo.exe/data002 Adware.Relevant.10
data002 C:\Documents and Settings\***\Rucksack Archiv enthält infizierte Objekte
sumo.exe C:\Documents and Settings\***\Rucksack Container enthält infizierte Objekte Verschoben.
Kill.exe C:\Documents and Settings\***\Rucksack\pcwIC\#Source#\Tools Tool.Prockill Gelöscht.
PcwAutostart1.4.1.hta\vbscript.0 C:\Documents and Settings\Jan\Rucksack\pcwIC\#Source#\Tools\PcwAutostart1.4.1.hta Wahrscheinlich SCRIPT.BATCH.Virus
PcwAutostart1.4.1.hta C:\Documents and Settings\***\Rucksack\pcwIC\#Source#\Tools Container enthält infizierte Objekte Verschoben.
Pcwkill.exe C:\Documents and Settings\***\Rucksack\pcwIC\#Source#\Tools Tool.Prockill Gelöscht.
Util_VistaDefrag.VBS C:\Documents and Settings\Jan\Rucksack\pcwIC\#Source#\Tools Modifikation von Trojan.MulDrop.24 Verschoben.
Drivers_Backuper_2.7.exe\data003 C:\Documents and Settings\Jan\Rucksack\Treiberbackuptools\Drivers_Backuper_2.7.exe Adware.Relevant.10
Drivers_Backuper_2.7.exe C:\Documents and Settings\***\Rucksack\Treiberbackuptools Archiv enthält infizierte Objekte Verschoben.
Drivers_Backuper_2.7.exe\data003 C:\Dokumente und Einstellungen\---\DoctorWeb\Quarantine\Drivers_Backuper_2.7.exe Adware.Relevant.10
Drivers_Backuper_2.7.exe C:\Dokumente und Einstellungen\---\DoctorWeb\Quarantine Archiv enthält infizierte Objekte Verschoben.
PcwAutostart1.4.1.hta\vbscript.0 C:\Dokumente und Einstellungen\---\DoctorWeb\Quarantine\PcwAutostart1.4.1.hta Wahrscheinlich SCRIPT.BATCH.Virus
PcwAutostart1.4.1.hta C:\Dokumente und Einstellungen\---\DoctorWeb\Quarantine Container enthält infizierte Objekte Verschoben.
sumo.exe/data002\data004 C:\Dokumente und Einstellungen\---\DoctorWeb\Quarantine\sumo.exe/data002 Adware.Relevant.10
data002 C:\Dokumente und Einstellungen\---\DoctorWeb\Quarantine Archiv enthält infizierte Objekte
sumo.exe C:\Dokumente und Einstellungen\---\DoctorWeb\Quarantine Container enthält infizierte Objekte Verschoben.
Util_VistaDefrag.VBS C:\Dokumente und Einstellungen\---\DoctorWeb\Quarantine Modifikation von Trojan.MulDrop.24 Verschoben.
Kill.exe C:\Dokumente und Einstellungen\Jan\Rucksack\pcwIC\#Source#\Tools Tool.Prockill Falscher Pfad zur Datei
Pcwkill.exe C:\Dokumente und Einstellungen\Jan\Rucksack\pcwIC\#Source#\Tools Tool.Prockill Falscher Pfad zur Datei
Kill.exe C:\Users\Jan\Rucksack\pcwIC\#Source#\Tools Tool.Prockill Falscher Pfad zur Datei
Pcwkill.exe C:\Users\Jan\Rucksack\pcwIC\#Source#\Tools Tool.Prockill Falscher Pfad zur Datei
agsetup183se.exe/data025\data004 G:\Software\Audiograbber\agsetup183se.exe/data025 Adware.EcoBar.1
data025 G:\Software\Audiograbber Archiv enthält infizierte Objekte
agsetup183se.exe G:\Software\Audiograbber Archiv enthält infizierte Objekte Verschoben.
lmms-0.4.3-win32.exe G:\Software\L.MultimediaStudio BackDoor.Tdss.179 Gelöscht.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:30:21, on 18.06.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Program Files\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Windows\SuRun.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Users\***\Desktop\Rucksack\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton AntiVirus\Engine\16.5.0.134\IPSBHO.DLL
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Program Files\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [SuRun Systemmenü-Erweiterung] C:\Windows\SuRun.exe /SYSMENUHOOK
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Program Files\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: Super User Run (SuRun) Service - h**p://kay-bruns.de - C:\Windows\SuRun.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 4685 bytes


Norton Antivirus 2009 Log
=================================
Scanstatistik:
Scanzeit: 2716 Sek.
Scanoptionen:
Scanziele: C:\, G:\
Zähler:
Gescannte Elemente insgesamt: 330.148
– Dateien und Laufwerke: 328.736
– Registrierungseinträge: 232
– Prozesse und Elemente beim Start: 1.028
– Netzwerk und Browser-Elemente: 147
– Sonstiges: 5
– Vertrauenswürdige Dateien: 0
– Übersprungene Dateien: 0

Erkannte Sicherheitsrisiken insgesamt: 2
Behobene Elemente insgesamt: 2
Elemente insgesamt, die Aufmerksamkeit erfordern: 0

Behobene Bedrohungen:
Hacktool
Typ: Komprimiert
Risiko: Hoch (Hoch Stealth, Hoch Entfernung, Hoch Leistung, Hoch Datenschutz)
Kategorien: Virus
Status: Vollständig behoben
-----------
1 Datei
[keyfinder.exe] in [c:\users\***\appdata\local\mozilla\firefox\profiles\dua8jgvb.default\cache\b3ced0bdd01] - Gelöscht

Hacktool
Typ: Komprimiert
Risiko: Hoch (Hoch Stealth, Hoch Entfernung, Hoch Leistung, Hoch Datenschutz)
Kategorien: Virus
Status: Vollständig behoben
-----------
1 Datei
[keyfinder.exe] in [c:\users\***\rucksack\magical_jelly_bean_keyfinder_1_51.zip] - Gelöscht

Nicht behobene Bedrohungen:
Keine nicht behobenen Risiken

Wer mit JDownloader rumspielt sollte sich nicht über Vieren Wundern

Zitat:

1 Datei
[keyfinder.exe] in [c:\users\***\appdata\local\mozilla\firefox\profile s\dua8jgvb.default\cache\b3ced0bdd01] - Gelöscht

Hacktool:
Typ: Komprimiert
Risiko: Hoch (Hoch Stealth, Hoch Entfernung, Hoch Leistung, Hoch Datenschutz)
Kategorien: Virus
Status: Vollständig behoben

Wie erklärst du uns den Keyfinder??

Voo.Doo

Der Keyfinder ist Magical Jellybean und wird von diversen seriösen Seiten (Chip, Ct, Wintotal, CNet etc.) zum Download angeboten. Damit kann man seine Windows und Office-Keys extrahieren und ändern. Das braucht man z.B. wenn man einen gebrauchten PC für seine Kids gekauft hat um eine korrekte Lizenz einzufügen Auf diesem System (vorinstalliertes Vista-Notebook) habe ich die Datei aber nicht ausgeführt.

Wo ist denn das Problem mit JDownloader?

Gruss Handkäs

Wofür benutzt du es bzw was downloadest du? Das steht z.b bei chip.de

Zitat:

Mit dem jDownloader laden Sie unkompliziert Dateien von One-Klick-Hostern wie etwa Rapidshare.

Ist die Benutzung von One-Klick-Hostern wie etwa Rapidshare illegal? Wenn ja lass es mich wissen. Btw. du nimmst doch nicht im Ernst an, dass ich dir auf diese indiskrete Frage antworte.

Hallo,

Zitat:

Btw. du nimmst doch nicht im Ernst an, dass ich dir auf diese indiskrete Frage antworte.

Dann glaub nicht das wir dir helfen... Wenn du Musik, Filme, Spiele oder Keys runterlädst ist das illegal.

Mal davon abgesehen, dass ich nichts illegales tue, wenn du Leute überfährst ist das illegal. Weigert sich deshalb die Werkstatt dein Mofa zu reparieren?

Du musst mir nicht helfen und ich muss mich nicht von einem Amateur-Inquisitor verarschen lassen.

Gut wenn du mir versicherts, dass du es nicht tust, tut es mir leid SORRY. Mit dem Neuaufsetzen ist das garkein falscher Gedanke. Wenn du dich dafür entscheiden solltest befolge folgende Anweisung (http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html).

Voo.Doo

OK. Wenn das also nötig ist werde ich mich mal daran machen, wieder ein Tag im Eimer. Ich verstaue alle dauerhaft benötigten Daten auf einer externen Platte (G:/). Dazu gehört auch meine Freewareperlensammlung (Installationsdateien) und diverse gerippte CDs und DVDs. Muss ich das alles löschen oder kann ich diese Daten weiter verwenden?

Du solltest beachten das auf deiner Externen

Zitat:

G:\Software\Audiograbber\agsetup183se.exe/data025 Adware.EcoBar.1
data025 G:\Software\Audiograbber Archiv enthält infizierte Objekte
agsetup183se.exe G:\Software\Audiograbber Archiv enthält infizierte Objekte Verschoben.
lmms-0.4.3-win32.exe G:\Software\L.MultimediaStudio BackDoor.Tdss.179 Gelöscht.

der BackDoor und weitere Vieren gefunden wurden. Somit Steckst du dich nach einer Neuinstalation evt. wieder an.

Reicht es nicht die bekannten Verdächtigen zu löschen?

Wenn nein, würde es denn reichen, wenn ich alle ausführbaren Dateien/Installer lösche? Bilder, Video- und Musikdateien können hoffentlich keinen Schaden anrichten. Oder können auch nicht ausführbare Dateien eine Gefahr bilden bzw. kann man sie desinfizieren?

Bei einem BackDoor reicht es leider nicht aus.
Was du machen könntest ist alle Programme die auf deiner Externen instaliert sind zu deinstalieren und deine musik bilder filme was auch immer auf den pc zu kopieren und anschließen die externe Festplatte Formatieren. Danach so schnell wie möglich deine Musik, Programmsammlungen usw. auf die Externe kopieren und abziehen. Das sie sich neu Infieziert in der kurzen zeit ist nicht auszuschließen. Die Optimale Lösung die ich dir Vorschlage ist alles zu formatieren. Hast du noch weiter Usb-sticks oder Externe Festplatte die an dem pc angeschlossen waren?

Voo.Doo

Ja, diverse USB-Sticks und eine weitere externe Platte auf die ich Sicherungsimages der Systemplatte gespeichert habe.

Waren dies zum zeitpunkt der Infektion angeschlossen?

Ja, denke ich schon. Was hältst Du denn davon, eine externe Platte unter Linux (ich hab da noch einen alten PC mit Ubuntu drauf) mit einem Partitionierungstool zu formatieren und dann die gewünschten Nutzdaten von der einen auf die andere Platte zu kopieren?