Trojan.Win32.VB infiziert - nichts hilft

Doom · 26.08.2009, 01:48

guten abend liebe community
dies ist mein 1. beitrag also bitte sagt bescheid wenn ich was falsch mache, da ich leider noch nicht ganz so erfahren bin.

ich hab schon die sufu benutzt aber komischerweise nichts annähernd helfendes gefunden.
nun zu meinem problem:
also ich glaube angefangen hat es vor ca. 3 tagen. auf einem stick den ich von meiner mutter bekam waren 2 merkwürdige programme darauf:
PeAcE.exe und LAX.exe die von kaspersky natürlich als virus indentifiziert und gleich darauf gelöscht wurden.
jetzt dachte ich mir die sache wär geklärt aber nein...

sobald ich meinen pc hochfahre wird versucht eine sogenannte
cdial.exe und lax2.exe von einer internetadresse namens h**p.//217.23.4.266/ herunterzuladen. was durch kaspersky natürlich blockiert wird, da es die viren erkennt.
..

nachdem die cdial 1 mal geblockt wurde macht sie keine probleme mehr.
doch etwa jede 5 minuten wird versucht lax2.exe runterzuladen.
dies ist deswegen ärgerlich da
1. immer diese kaspersky nachricht kommt
2. ebenfalls ein dosfenster geöffnet wird namens usewecte.exe (sehr nervig wenn man neben her spielt da das spiel dann zwangsläufig minimiert wird).
dieses dosfenster wird dann sofort beendet da anscheinend ntvdm.exe ein problem festgestellt hat.
ich hab mich etwas informiert und herausgefunden das ntvdm.exe ein programm ist, welches 16bit anwendungen unter windows laufbar macht
(hoffe das stimmt noch was ich aus meinem gedächtnis hier hinschreibe).
..

ich hab den verdacht, dass durch das blocken des downloads von lax2.exe von kaspersky, das dafür zuständige programm sofort beendet wird und dadurch fehlermeldungen erzeugt.
das komische ist nur das ich mittlerweile kaspersky und spybot s&d mehrmals das ganze system auf viren überprüfen lassen habe (mit und ohne internetverbindung) und infizierte programme desinfiziert oder gelöscht hab, der virus aber immer noch nicht vollständig entfernt ist und andauernd versucht diese programme aus dem internet zu holen -.- .
hier bilder der letzten gelöschten und desinfizierten programme durch kaspersky ( spybot fand "leider" nur ein paar verfolgende cookies) :
h*tp://img262.imageshack.us/img262/6255/34151894.png
h*tp://img36.imageshack.us/img36/80/47299523.png
h*tp://img213.imageshack.us/img213/7138/85980418.png
h*tp://img213.imageshack.us/img213/4708/37282801.png

hab mittlerweile herrausgefunden das sich diese usewecte.exe unter
C:\Dokumente und Einstellungen\[meinname] befindet und trotz löschen immer wieder dort auftaucht

ich hoffe ihr könnt mir helfen diesen virus ein für alle mal zu löschen, sodass ich mein system wieder normal nutzen kann.
vielen dank schonmal im vorraus

--------------------------------------------------
hier noch ein hijackthis.log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:03:21, on 26.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cc32\webtmr.exe
C:\WINDOWS\system32\CTHELPER.EXE
D:\Programme\Razer\Lycosa\razerhid.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
D:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\programme\steam\steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\tray\wintmr.exe
C:\Programme\CASIO\YouTube Uploader for CASIO\YStart.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
D:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
D:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\walter.klaschka\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.schnellsucher.com/?t=Q0907251719&s=h
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**ps://login.live.com/ppsecure/sha1auth.srf?lc=1031
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ChicoSys] C:\WINDOWS\system32\cc32\webtmr.exe
O4 - HKLM\..\Run: [Lycosa] "D:\Programme\Razer\Lycosa\razerhid.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "D:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: iTunes 8.2.lnk = ?
O4 - Global Startup: YouTube Uploader for CASIO.lnk = C:\Programme\CASIO\YouTube Uploader for CASIO\YStart.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - D:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Download with Xilisoft YouTube to iPod Converter - D:\Programme\Xilisoft\Youtube to iPod Converter\upod_link.HTM
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://***.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1216642479717
O17 - HKLM\System\CCS\Services\Tcpip\..\{992A5E2C-FF58-4AFF-B0D3-2ED367797DD1}: NameServer = 192.168.200.223
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CSIScanner - Unknown owner - C:\Programme\Prevx\prevx.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Performance Service (nTuneService) - NVIDIA - D:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - D:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe
O23 - Service: Windows-CCHook-Service - Salfeld Computer - C:\WINDOWS\system32\cchservice.exe

--
End of file - 9051 bytes

raman · 26.08.2009, 21:24

Lies dir bitte folgendes durch und poste die restlichen Reporte aus Punkt 2.
http://www.trojaner-board.de/anleitu...uncements.html

Ein GMER Report kann auch nicht schaden....

Doom · 27.08.2009, 23:44

jop werde ich gleich machen
danke schonmal für eine antwort

Trojan.Win32.VB infiziert - nichts hilft

Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.VB infiziert - nichts hilft