Aloha,

hab mir nen Haufen Trojaner und Malware eingefangen, die meisten sind wohl besiegt, jedoch die b.exe gibt nicht so leicht auf wie ich gehofft habe.

Habe mir heute morgen AV Care, Total Security, die sdra64.exe und mindestens 9 weitere Trojaner eingefangen.
Der ganze Krempel hat Spybot und die Windows Firewall lahmgelegt (Spybot geht immer noch nicht wieder), der Internet Explorer tuts nicht mehr und bis ich einige der fiesen Viecher gekillt habe, konnte ich auch keine Antiviren Seiten im Internet aufsuchen.
Mit dem alten Regcleaner, einigen Sitzungen mit HijackThis und dem CCleaner habe ich viel beheben können / Schaden eingrenzen.
ZBotKiller konnte ich mir irgendwo runterladen und das dann auch diverse schädliche Prozesse gekillt (wurde seinem Namen also gerecht).

Damit ist es nur leider nicht getan:
Antivir findet jetzt nix mehr, obwohl definitv noch die b.exe (Monopod, was auch immer das heißen mag?) aktiv ist.
Außerdem versucht alle 5 Sekunden ein Prozess auf mein Diskettenlaufwerk zuzugreifen...

Darüber hinaus habe ich versucht Malwarebytes zu installieren, geht aber nicht, offenbar wird der Prozess geblockt.

Was nun, wenn alle mir bekannten Mächte versagen?

PS: So nun ist mir noch aufgefallen, dass ich auf meinen Brenner nicht mehr zugreifen kann, mit zwischendurch sichern ist also auch nix.
Außerdem öffnet sich immer noch ein zusätzliches Browserfenster.
Unterwegs bin ich übrigens mit Windows XP SP3

Kickuck, jemand da?
Also ich hab schon jede Menge versucht,
meine Probleme sind jedoch persistent, wenngleich der Zugriff auf Laufwerk A: nicht mehr erfolgt.

So, jetzt auch ein aktuelles hijack log:
Logfile of HijackThis v1.99.1
Scan saved at 23:19:57, on 27.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot\TeaTimer.exe
C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
F2 - REG:system.ini: Shell=Explorer.exe logon.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [Monopod] C:\DOKUME~1\MGH\LOKALE~1\Temp\b.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151855103649
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AE1CD0B-56C3-449F-9AA9-6651E77E6CCB}: NameServer = 62.220.18.8 89.246.64.8
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: lxcf_device - - C:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

vorher konnte ich davon immer nur die Hälfte kopieren, Rest ging nicht...

Hallo und

Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr hohem Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du dich für Bereinigen entscheiden, auch wenn es länger dauern wird, dann beginne mit RSIT. Poste bitte beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

hola

hab die log und info.txt Dateien von RSIT mal in den Anhang gepackt.
Hoffe das funktioniert wie vorgesehen...

hier nun das Log aus Combofix:

ComboFix 09-08-27.02 - MGH 28.08.2009 0:30.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.512.304 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\MGH\Desktop\Cofi.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-010D-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {81BD8148-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {BADB0D00-FFA4-00FC-0D24-347CA8A3377C}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\17396874
c:\dokumente und einstellungen\All Users\Anwendungsdaten\17396874\17396874
c:\dokumente und einstellungen\All Users\Anwendungsdaten\17396874\17396874.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\17396874\pc17396874ins
c:\windows\system32\drivers\UACubqjkomudj.sys
c:\windows\system32\logon.exe
c:\windows\system32\lowsec
c:\windows\system32\UACbiqgakdmeh.dat
c:\windows\system32\UACbwuteppjwb.dll
c:\windows\system32\uacinit.dll
c:\windows\system32\UAClvypyjctqn.dll
c:\windows\system32\UACnpvxbepxmb.dll
c:\windows\system32\UACvayngskluy.dll
c:\windows\system32\UACxohxrgrfto.db

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_UACd.sys


((((((((((((((((((((((( Dateien erstellt von 2009-07-27 bis 2009-08-27 ))))))))))))))))))))))))))))))
.

2009-08-27 21:34 . 2009-08-27 21:35 -------- d-----w- c:\programme\trend micro
2009-08-27 21:34 . 2009-08-27 21:51 -------- d-----w- C:\rsit
2009-08-27 20:41 . 2009-08-27 20:43 -------- d-----w- c:\programme\RR
2009-08-27 19:36 . 2009-08-27 19:36 -------- d-----w- c:\dokumente und einstellungen\MGH\Anwendungsdaten\TeamViewer
2009-08-27 19:35 . 2009-08-27 19:35 -------- d-----w- c:\dokumente und einstellungen\MGH\temp
2009-08-27 18:49 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-27 18:49 . 2009-08-27 18:55 -------- d-----w- c:\programme\Gehfort
2009-08-27 18:49 . 2009-08-27 18:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-27 18:49 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-26 08:54 . 2009-08-26 08:54 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-08-12 00:00 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-10 20:01 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-27 22:03 . 2006-07-02 14:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-27 22:01 . 2007-05-20 09:47 -------- d-----w- c:\programme\CCleaner
2009-08-27 22:00 . 2006-07-13 18:36 -------- d-----w- c:\programme\Downloads
2009-08-27 21:41 . 2006-08-19 20:36 -------- d-----w- c:\dokumente und einstellungen\MGH\Anwendungsdaten\Skype
2009-08-27 21:19 . 2007-03-17 14:19 6243 ----a-w- c:\programme\hijackthis.log
2009-08-27 19:04 . 2006-07-06 19:49 4355 ----a-w- c:\programme\i_view32.ini
2009-08-27 18:44 . 2008-07-03 11:38 -------- d-----w- c:\dokumente und einstellungen\MGH\Anwendungsdaten\skypePM
2009-08-27 18:42 . 2006-07-16 22:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-08-26 17:13 . 2007-03-17 14:23 -------- d-----w- c:\programme\backups
2009-08-26 16:25 . 2008-08-11 11:11 -------- d-----w- c:\programme\Spybot
2009-08-25 17:04 . 2008-12-02 13:09 -------- d-----w- c:\dokumente und einstellungen\MGH\Anwendungsdaten\foobar2000
2009-08-25 12:13 . 2007-01-10 19:53 -------- d-----w- c:\programme\Lx_cats
2009-08-09 12:30 . 2006-07-02 15:26 98304 ----a-w- c:\windows\DUMP48d0.tmp
2009-08-05 08:59 . 2002-08-29 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-31 19:54 . 2006-08-17 13:42 -------- d-----w- c:\programme\Guitar Pro 5
2009-07-26 10:42 . 2008-11-17 12:32 -------- d-----w- c:\programme\Ken Rename
2009-07-17 19:01 . 2002-08-29 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-12 10:21 . 2004-08-04 07:57 233472 ------w- c:\windows\system32\wmpdxm.dll
2009-07-05 21:06 . 2006-08-19 17:59 -------- d-----w- c:\programme\Trillian
2009-07-03 16:55 . 2006-04-28 13:08 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-25 08:25 . 2005-06-15 17:51 301568 ----a-w- c:\windows\system32\kerberos.dll
2009-06-25 08:25 . 2002-08-29 12:00 737792 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:25 . 2002-08-29 12:00 56832 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:25 . 2002-08-29 12:00 54272 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:25 . 2002-08-29 12:00 147456 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:25 . 2002-08-29 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-06-24 11:18 . 2002-08-29 12:00 92928 ------w- c:\windows\system32\drivers\ksecdd.sys
2009-06-17 16:08 . 2009-06-17 16:08 288 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm\Client\uninst2.bat
2009-06-17 16:08 . 2009-06-17 16:08 683801 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm\Client\UninstWMP\unins000.exe
2009-06-17 16:08 . 2009-06-17 16:08 683801 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm\Client\UninstWA\unins000.exe
2009-06-17 16:08 . 2009-06-17 16:08 683801 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm\Client\UninstFoo3\unins000.exe
2009-06-16 14:36 . 2002-08-29 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2002-08-29 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2002-08-29 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2002-08-29 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2006-07-02 13:38 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2002-08-29 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2005-08-30 04:03 1296896 ----a-w- c:\windows\system32\quartz.dll
2008-09-20 13:33 . 2008-09-20 13:33 774 ----a-w- c:\programme\YouTube Downloader.lnk
2007-05-29 14:33 . 2007-05-29 14:33 272616 ----a-w- c:\programme\i_view32.chm
2007-05-29 14:33 . 2006-07-06 19:49 765 ----a-w- c:\programme\i_languages.txt
2007-05-29 14:33 . 2006-07-06 19:49 62543 ----a-w- c:\programme\i_changes.txt
2007-05-29 14:33 . 2006-07-06 19:49 5734 ----a-w- c:\programme\i_plugins.txt
2007-05-29 14:33 . 2006-07-06 19:49 29184 ----a-w- c:\programme\iv_uninstall.exe
2007-05-29 14:33 . 2006-07-06 19:49 2235 ----a-w- c:\programme\i_about.txt
2007-05-29 14:33 . 2006-07-06 19:49 11737 ----a-w- c:\programme\i_options.txt
2007-05-29 14:33 . 2006-07-06 19:49 456704 ----a-w- c:\programme\i_view32.exe
2006-12-20 09:47 . 2006-12-20 09:46 14405032 ----a-w- c:\programme\zlsSetup_65_737_000_de.exe
2006-07-06 19:49 . 2006-07-06 19:49 661 ----a-w- c:\programme\i_view32.exe.manifest
2006-07-06 19:49 . 2006-07-06 19:49 5811 ----a-w- c:\programme\i_view32.cnt
2006-07-06 19:49 . 2006-07-06 19:49 206436 ----a-w- c:\programme\i_view32.hlp
2005-02-16 09:06 . 2006-09-24 09:17 218112 ----a-w- c:\programme\HijackThis.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\ati-cpanel\atiptaxx.exe" [2003-06-05 335872]
"LXCFCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-07-20 73728]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2001-09-04 28672]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-06-10 55296]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk.disabled [2006-7-3 1737]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Watch.lnk - c:\programme\Mustek 1200 UB Plus\Driver\WATCH.exe [2006-7-22 364544]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AntiVirScheduler"=2 (0x2)
"AntiVirService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"NeroCheck"=c:\windows\system32\\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Dokumente und Einstellungen\\MGH\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"53:UDP"= 53:UDP:Promo

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [10.08.2009 22:01 28544]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [20.07.2006 15:57 11264]
S3 zlportio;zlportio;\??\c:\programme\Ultrastar\zlportio.sys --> c:\programme\Ultrastar\zlportio.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/ig?hl=de
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.versatel.de/internet-cd/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\MGH\Anwendungsdaten\Mozilla\Firefox\Profiles\f4n0hg6u.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npvlc.dll
FF - plugin: c:\programme\Opera\program\plugins\nppl3260.dll
FF - plugin: c:\programme\Opera\program\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-28 00:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCFCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-08-27 0:42
ComboFix-quarantined-files.txt 2009-08-27 22:41

Vor Suchlauf: 10 Verzeichnis(se), 36.886.188.032 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 36.854.009.856 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

190 --- E O F --- 2009-08-26 10:47

es hat sich schon einiges an Verbesserungen eingestellt.
Kein Browserjacking mehr, wenn ich Antivirenseiten etc besuche, der
Onlinescanner von Panda funktioniert wieder, Spybot auch...
Danke schonmal für die Hilfe!!!

So,

nach einem weiteren Scan bis tief in die Nacht wurden 3 weitere Trojaner und eine weitere Rootkitsignatur gefunden und von Antivir gelöscht. Jetzt läuft ein neuer Scan.

Da ja Antivir schon wieder solche Sachen findet, kann ich davon ausgehen, dass ich aus dem gröbsten raus bin?

LG

Zitat:

Da ja Antivir schon wieder solche Sachen findet, kann ich davon ausgehen, dass ich aus dem gröbsten raus bin?

Ja, gut erkannt. Vom Schlimmsten hat die ComboFix befreit. ABER das heißt nicht, dass du sauber bist, denn das Rootkit lädt Unmengen nach.

Meistens leider völlig neue Schädlinge, die von kaum einem Scanner erkannt werden. Deshalb müssen Unmengen von Scannern laufen, damit du sicher von Allem befreit wirst. Lies nochmal den Betreff =>

Zitat:

Zig Trojaner und Malware

Ja, das ist die Pest und die zu besiegen ist ein ernstes Unterfangen und wird mehrere Tage beanspruchen.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
pavboot

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"53:UDP"=-

Folder::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\programme\Spybot

File::
C:\WINDOWS\tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
C:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job
c:\windows\DUMP48d0.tmp

DirLook::
C:\Programme\Gehfort
c:\programme\RR
c:\dokumente und einstellungen\MGH\Anwendungsdaten\TeamViewer
c:\programme\Downloads
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

interessantes Skript.

was macht das denn, wenn ich fragen darf?

Killall, klingt nach alles plätten:

RR = Rootkit Revealer
Gehfort (ALternativname für Malwarebytes, weil schon die Installation geblockt wurde)
Teamviewer (war absichtlich installiert, damit mir ein Bekannter (Ex-Informatikstudent) Remoteunterstützung leisten konnte)
und in Downloads stecken alle Installationsdateien, die ich mir mal runtergeladen habe.

wollte ich lieber anmerken, bevor ich das ungefragt lösche.

Panda Antivirus hat folgendes gefunden:
1. C:\System Volume Information\_restore{04FF451...61-895BC5235A18}\RP786\A0197889.dll
2. C:\Qoobox\Quarantine\C\WINDOWS\system32\UAClvypyjctqn.dll.vir

Rootkit/Booto.... Virus
1. C:\System Volume Information\_restore{04FF451...61-895BC5235A18}\RP786\A0197892.sys

Regel 6 => http://www.trojaner-board.de/extra/impressum.html#NUB

Zitat:

was macht das denn, wenn ich fragen darf?

Benutze die Boardsuche und suche nach Scripten.

Zitat:

Killall, klingt nach alles plätten:

Ja, das ist mein Lieblingskommando bei ComboFix. Das flößt Respekt ein, beendet aber nur alle laufenden Prozesse.

Zitat:

wollte ich lieber anmerken, bevor ich das ungefragt lösche.

Das wird nichts gelöscht => combofix scripts

ciao, andreas

Zitat:

Zitat von john.doe

Regel 6 => http://www.trojaner-board.de/extra/impressum.html#NUB
Ja, das ist mein Lieblingskommando bei ComboFix. Das flößt Respekt ein (Joa tut es!), beendet aber nur alle laufenden Prozesse.
Das wird nichts gelöscht => combofix scripts

naja, Spybot is ja nu weg... war das nötig?
und Regel 6 hab ich ja grob befolgt
...

hier das neue log siehe Anhang, ich muss zu meiner Schande gestehen, dass ich Antivir nur so deaktiviert hab diesmal und nicht auch im Task Manager, aber so ganz deaktivieren ließ es sich beim vorherigen mal auch nicht, zumindest hat Combofix 2x gemeckert

Danke auf jeden Fall für die Mühe

Zitat:

naja, Spybot is ja nu weg... war das nötig?

Ja. Keine Angst, du bekommst gleich etwas Besseres.

http://www.trojaner-board.de/408463-post8.html (erster Absatz)

Zitat:

zumindest hat Combofix 2x gemeckert

Hauptsache läuft. Du hast da uralte Sachen in deinem Downloadordner. Den würde ich dringend löschen.

1.) Malwarebytes läuft jetzt wieder, auch ohne Umbenennen. Erst Update durchführen, scannen und Log posten.

2.) http://www.trojaner-board.de/51871-a...tispyware.html

ciao, andreas

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2710
Windows 5.1.2600 Service Pack 3

29.08.2009 02:04:10
mbam-log-2009-08-29 (02-04-10).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 167900
Laufzeit: 1 hour(s), 32 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Steinberg\WaveLab\UNWISE.EXE (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\17396874\17396874.exe.vir (Rogue.SystemSecurity) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\UAClvypyjctqn.dll.vir (Rogue.Agent) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACubqjkomudj.sys.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{04FF451F-80EE-49E7-B061-895BC5235A18}\RP787\A0197916.exe (Rogue.SystemSecurity) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{04FF451F-80EE-49E7-B061-895BC5235A18}\RP787\A0198343.exe (Trojan.Banker) -> Quarantined and deleted successfully.

Zitat:

C:\System Volume Information\_restore{04FF451F-80EE-49E7-B061-895BC5235A18}\RP787\A0198343.exe (Trojan.Banker)

Falls die Meldung keine Falschmeldung sein sollte, dann ändere alle deine Kennwörter. Du musst davon ausgehen, dass alle Kennwörter gestohlen wurden. Falls du Onlinebanking betreibst, dann informiere sicherheitshalber deine Bank und erkundige dich nach Unregelmäßigkeiten.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

ciao, andreas