DelfInject.gen!AA oder Worm.Win32.Pinit.gen oder sowas machen mir seit eben Ärger!!!
Generiert jedenfalls irgendwelche test1.exe und q7.exe, verknüpft googleseiten falsch, antivir stürzt ab
ICh hab bisher nichts gutes gelesen bis jetzt- komme aber leider nicht weiter udn hab auch so kaum Ahnung . Hier mein Hijack-logfile
Bitte bitte helft mir.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:06:33, on 02.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\msa.exe
D:\Programme\QuickTime\QTTask.exe
D:\Programme\Java\jre6\bin\jusched.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\DOKUME~1\***\LOKALE~1\Temp\b.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\sdra64.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - D:\WINDOWS\system32\msxml71.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Kopie von KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [net] "D:\WINDOWS\system32\net.net"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [odby] D:\WINDOWS\odb.exe
O4 - HKLM\..\Run: [netc] D:\WINDOWS\svc.exe
O4 - HKLM\..\Run: [lsass] D:\WINDOWS\lsass.exe
O4 - HKLM\..\Run: [UpdateWin] D:\WINDOWS\system32\actskn45d.exe
O4 - HKLM\..\Run: [15535004] D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\15535004\15535004.exe
O4 - HKLM\..\Run: [amoumain] D:\WINDOWS\amoumain.exe
O4 - HKLM\..\Run: [netw] D:\WINDOWS\svw.exe
O4 - HKLM\..\Run: [wdmon] D:\WINDOWS\wdmon.exe
O4 - HKLM\..\Run: [netx] D:\WINDOWS\svx.exe
O4 - HKLM\..\Run: [vlc] D:\WINDOWS\vlc.exe
O4 - HKLM\..\Run: [servicelayer] D:\WINDOWS\servicelayer.exe
O4 - HKLM\..\Run: [ctfmon] D:\WINDOWS\ctfmon.exe
O4 - HKLM\..\RunServices: [UpdateWin] D:\WINDOWS\system32\actskn45d.exe
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EA Core] "D:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [PMCLoader] D:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe -checktasks
O4 - HKCU\..\Run: [Monopod] D:\DOKUME~1\Rena\LOKALE~1\Temp\b.exe
O4 - HKCU\..\Run: [UpdateWin] D:\WINDOWS\system32\actskn45d.exe
O4 - HKCU\..\RunServices: [UpdateWin] D:\WINDOWS\system32\actskn45d.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pinnacle Streaming Server.lnk = D:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.antimalwareguard.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.antimalwareguard.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Update Service (gupdate1c9fc0dee6b6f84) (gupdate1c9fc0dee6b6f84) - Google Inc. - D:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 7308 bytes

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

Code: Alles auswählenAufklappen

ATTFilter

deine Logfile
         

schritt 1

Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen

Code: Alles auswählenAufklappen

ATTFilter

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\15535004\15535004.exe
         

Also gehe wie hier beschrieben vor:

• Öffne diese Webseite: virustotal
• Klicke auf "Durchsuchen"
• Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
• "Senden der Datei"
• Warte, bis der Scandurchlauf aller Virenscanner beendet ist
• Auf "Filter" klicken
• dann auf "Ergebnisse"
• das Ergebnis (wie Du es bekommst )
  komplett markieren und hier rein kopieren

Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen


schritt 2

• Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.

• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
• Starte deinen Rechner neu auf, in den abgesicherten Modus (Tipps & Tricks: TIPP 4).
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn.

schritt 3

Wende bitte Malwarebytes nach Anleitung an.


schritt 4

• Lade Random's System Information Tool (RSIT) herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

schritt 5

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

HI, heute morgen geht nur noch der internet Explorer. Und auch der will immer abbrechen. Andere SOftware, darunter auch Hijackmeldet mein pc als infected und will mir windows security software verkaufen.
Ich würde ja alles abarbeiten..
SInd eigentlich alle Partitionen befallen wenn man soviel würmer und spyware hat (nach windows security check hab ich 38!! Würmer, trojaner und Spyware). Ich bin jetzt sehr verunsichert.

hm ich kann zwar den log nicht mehr öffnen von gestern aber überprüfen ging noch. "Ergebnisse hab ich nicht gefunden zum klicken. Ist das hier richtig?

Code: Alles auswählenAufklappen

ATTFilter

Datei hijackthis.log empfangen 2009.08.02 10:42:59 (UTC)Antivirus Version letzte aktualisierung Ergebnis 
a-squared 4.5.0.24 2009.08.02 - 
AhnLab-V3 5.0.0.2 2009.08.01 - 
AntiVir 7.9.0.238 2009.07.31 - 
Antiy-AVL 2.0.3.7 2009.07.31 - 
Authentium 5.1.2.4 2009.08.01 - 
Avast 4.8.1335.0 2009.08.01 - 
AVG 8.5.0.406 2009.08.02 - 
BitDefender 7.2 2009.08.02 - 
CAT-QuickHeal 10.00 2009.07.30 - 
ClamAV 0.94.1 2009.08.02 - 
Comodo 1838 2009.08.02 - 
DrWeb 5.0.0.12182 2009.08.02 - 
eSafe 7.0.17.0 2009.07.30 - 
eTrust-Vet 31.6.6650 2009.08.01 - 
F-Prot 4.4.4.56 2009.08.01 - 
F-Secure 8.0.14470.0 2009.08.01 - 
Fortinet 3.120.0.0 2009.08.02 - 
GData 19 2009.08.02 - 
Ikarus T3.1.1.64.0 2009.08.02 - 
Jiangmin 11.0.800 2009.08.02 - 
K7AntiVirus 7.10.808 2009.08.01 - 
Kaspersky 7.0.0.125 2009.08.02 - 
McAfee 5695 2009.08.01 - 
McAfee+Artemis 5695 2009.08.01 - 
McAfee-GW-Edition 6.8.5 2009.08.02 - 
Microsoft 1.4903 2009.08.02 - 
NOD32 4298 2009.08.02 - 
Norman 6.01.09 2009.07.31 - 
nProtect 2009.1.8.0 2009.08.02 - 
Panda 10.0.0.14 2009.08.02 - 
PCTools 4.4.2.0 2009.08.01 - 
Prevx 3.0 2009.08.02 - 
Rising 21.40.44.00 2009.07.31 - 
Sophos 4.44.0 2009.08.02 - 
Sunbelt 3.2.1858.2 2009.08.02 - 
Symantec 1.4.4.12 2009.08.02 - 
TheHacker 6.3.4.3.375 2009.08.01 - 
TrendMicro 8.950.0.1094 2009.07.31 - 
VBA32 3.12.10.9 2009.08.02 - 
ViRobot 2009.7.31.1863 2009.07.31 - 
VirusBuster 4.6.5.0 2009.07.31 - 
 
weitere Informationen 
File size: 7309 bytes 
MD5...: 08510323ccdb59e7087ec35b50c37f06 
SHA1..: a7e20734c2e0913dd70538f0140b98b06f9ae448 
SHA256: 23834175ab2d7b2cd20ad9b2f41a446e0206b7ac5f232f884b513f078630c3c6 
ssdeep: 96:EQCEJw4Wjug5QVtj6pDL4TCT13YK/9JeYFFCZ/iYE/pdeX:18pDfuyu41CX<BR> 
PEiD..: - 
TrID..: File type identification<BR>HijackThis logfile (100.0%) 
PEInfo: - 
PDFiD.: - 
RDS...: NSRL Reference Data Set<BR>- 
 
Antivirus;Version;letzte aktualisierung;Ergebnis
a-squared;4.5.0.24;2009.08.02;-
AhnLab-V3;5.0.0.2;2009.08.01;-
AntiVir;7.9.0.238;2009.07.31;-
Antiy-AVL;2.0.3.7;2009.07.31;-
Authentium;5.1.2.4;2009.08.01;-
Avast;4.8.1335.0;2009.08.01;-
AVG;8.5.0.406;2009.08.02;-
BitDefender;7.2;2009.08.02;-
CAT-QuickHeal;10.00;2009.07.30;-
ClamAV;0.94.1;2009.08.02;-
Comodo;1838;2009.08.02;-
DrWeb;5.0.0.12182;2009.08.02;-
eSafe;7.0.17.0;2009.07.30;-
eTrust-Vet;31.6.6650;2009.08.01;-
F-Prot;4.4.4.56;2009.08.01;-
F-Secure;8.0.14470.0;2009.08.01;-
Fortinet;3.120.0.0;2009.08.02;-
GData;19;2009.08.02;-
Ikarus;T3.1.1.64.0;2009.08.02;-
Jiangmin;11.0.800;2009.08.02;-
K7AntiVirus;7.10.808;2009.08.01;-
Kaspersky;7.0.0.125;2009.08.02;-
McAfee;5695;2009.08.01;-
McAfee+Artemis;5695;2009.08.01;-
McAfee-GW-Edition;6.8.5;2009.08.02;-
Microsoft;1.4903;2009.08.02;-
NOD32;4298;2009.08.02;-
Norman;6.01.09;2009.07.31;-
nProtect;2009.1.8.0;2009.08.02;-
Panda;10.0.0.14;2009.08.02;-
PCTools;4.4.2.0;2009.08.01;-
Prevx;3.0;2009.08.02;-
Rising;21.40.44.00;2009.07.31;-
Sophos;4.44.0;2009.08.02;-
Sunbelt;3.2.1858.2;2009.08.02;-
Symantec;1.4.4.12;2009.08.02;-
TheHacker;6.3.4.3.375;2009.08.01;-
TrendMicro;8.950.0.1094;2009.07.31;-
VBA32;3.12.10.9;2009.08.02;-
ViRobot;2009.7.31.1863;2009.07.31;-
VirusBuster;4.6.5.0;2009.07.31;-

weitere Informationen
File size: 7309 bytes
MD5...: 08510323ccdb59e7087ec35b50c37f06
SHA1..: a7e20734c2e0913dd70538f0140b98b06f9ae448
SHA256: 23834175ab2d7b2cd20ad9b2f41a446e0206b7ac5f232f884b513f078630c3c6
ssdeep: 96:EQCEJw4Wjug5QVtj6pDL4TCT13YK/9JeYFFCZ/iYE/pdeX:18pDfuyu41CX<BR>
PEiD..: -
TrID..: File type identification<BR>HijackThis logfile (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set<BR>-
         

Allerdings war gestern alles noch gängiger- erst heute hab ich Alarm auf dem WIndowshintergrund "Your PC is infected.." und ständige Warnungen.
GErade: System has detected potential hazard (TrojanSPM/LX) on your computer

Hallo,

Sorry fürs Einmischen, Larusso.

@studentin11 Ich würde dir ein Neuaufsetzen deines PCs anraten, dein Computer ist so tiefgreifend infiziert, dass man da tagelang dran sitzt um es zu bereinigen.

Ich kann dir den Hilfelink geben: http://www.trojaner-board.de/51262-a...sicherung.html

Du solltest deine Passwörter sicherheitshalber nach dem neuaufsetzen ändern.

Keine Angst, in Panik geraten ist nicht gut, gehe alles durch, notiere dir alles.
Bleib ganz ruhig, das kriegen wir schon hin

MfG

Angel, wenn Du schon reinpostest, darfst Du auch fertig machen

ich bin raus

@studentin

du hast die Datei hijackthis.log empfangen 2009.08.02 10:42:59 hochgeladen, und nicht die Datei was ich sehen wollte, sonst hat alles gepasst

Und die Software was man Dir da verkaufen will ist ne Fake Software
Mit 38 Würmern usw wäre Dein Rechner im A