Hallo zusammen,

ich habe folgendes Problem, das ich in dieser "Kombination" in keinem anderem Thread gefunden habe. Ich hoffe, Ihr könnt mir weiterhelfen!

Ich habe letztlich die neue Version von Avira AntiVir installiert. Nach dem ersten Suchlauf wurden direkt zwei Funde angezeigt: ADSPY/SaveNow.BV.1 und
ADSPY/SaveNow.CG. Ich habe diese gelöscht.
Später, ich hatte kurz zuvor einen USB-Stick angebracht, meldete AntiVirs Guard
zwei Trojanische Pferde: TR/Autorun.ZG.8 und TR/Crypt.TPM.Gen
Die habe ich in Quarantäne gepackt. Sie kamen ziemlich offensichtlich vom Speicherstick!

Sehr beunruhigt ob dieser Funde besuchte ich Euer Board und hab dann auch die empfohlenen Programme (CCleaner hatte ich bereits) installiert und durchlaufen lassen. Prompt fand Malwarebytes 12(!) weitere infizierte Dateien. (Scheint Adware zu sein - keine Ahnung!)
Die Report Dateien füge ich unten ein.

Meine zwei Hauptfragen:
1) Wenn ich die Malware lösche - kann ich davon ausgehen, dass mein System wieder "sauber" ist?

und (bitte nicht schreien - ich bin halt so gar kein Fachmann!):
2) Ich habe bis zu den Funden Online-Banking gemacht. Kann ich das nach Löschen der Dateien mit neuem Passwort wieder aufnehmen?

Ich danke Euch schon im Voraus für Eure Mühe!

Hier der Report von Malwarebytes:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2722
Windows 5.1.2600 Service Pack 2

31.08.2009 22:11:53
mbam-log-2009-08-31 (22-11-53).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 153725
Laufzeit: 52 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ACM.dll (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenU) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Save (Adware.WhenU) -> Quarantined and deleted successfully.

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hallo und

bitte diese Liste beachten und abarbeiten. (außer MalwareBytes, das hast Du schon ausgeführt)

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo Cosinus,
vielen Dank für Deine schnelle Rückmeldung und die Willkommensgrüße!
Ich habe CCleaner laufen lassen - eine Datei in der Registry kann nicht gelöscht werden ("Ungenutzte Datei-Endunge {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79})

Das Programm erstellt aber keine Reports, oder?
Im Zip befindet sich jetzt also nur der Log File von HijackThis.

http://www.file-upload.net/download-1862034/log.zip.html

Viele Grüße,
Tintoretto

Hijackthis? In der Anleitung ist doch von RSIT die Rede! Bitte nachreichen.

Äh- sorry, das war missverständlich,
der File ist von RSIT. Ich dachte das wäre das Gleiche, weil RSIT doch HJT downloaded ?!

Ja, RSIT lädt HijackThis herunter, aber da gibts noch eine menge an anderen wichtigen Infos im Logfile von RSIT. Ich seh mir das mal eben an.

Hallo Cosinus,
ähem-ja, mit Rechtsklick auf das "KLICK" klappt es ganz wunderbar.
(Zum Glück sieht keiner meinen richtigen Namen!!)

Lustigen Gruß, Tinto

Hallo Cosinus,
Nachdem das "Ziel speichern unter" nun klappt, kommt trotzdem noch sehr flott die Meldung, dass noch drei Real-Time-Virenscanner von Antivir laufen. Ich habe AntiVir jedoch gelöscht (und zwar nicht nur die Desktop- Verknüpfung, sondern ganz regulär über "Software"). Wie stoppe ich diese Scanner?! Und warum habe ich drei davon?!Eigene Recherche hat noch nichts erbracht.

Viele Grüße,
Tintoretto

Wenn der Regenschirm von Avira eingeklappt ist sollte es schon passen...

Hi,
So jetzt habe ich Combofix ausgeführt. Hier das Logfile:
#ComboFix 09-09-06.06 - ++++ 07.09.2009 20:21.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.382.207 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\++++\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD100-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD408-FFA4-00DA-0D24-347CA8A3377C}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-982049814-2109433001-3863649361-1003
c:\windows\Installer\2159a.msi

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-07 bis 2009-09-07 ))))))))))))))))))))))))))))))
.

2009-09-01 07:24 . 2009-09-01 19:20 -------- d-----w- c:\programme\trend micro
2009-09-01 07:24 . 2009-09-01 07:25 -------- d-----w- C:\rsit
2009-08-31 18:28 . 2009-08-31 18:28 -------- d-----w- c:\dokumente und einstellungen\++++\Anwendungsdaten\Malwarebytes
2009-08-31 18:28 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-31 18:28 . 2009-08-31 18:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-31 18:28 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-31 18:28 . 2009-08-31 18:28 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-28 08:36 . 2009-08-28 08:37 -------- d-----w- c:\programme\CCleaner
2009-08-19 07:40 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-12 18:50 . 2009-08-12 18:50 -------- d-----w- c:\windows\ServicePackFiles

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-07 18:00 . 2006-06-04 21:13 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-08-25 20:02 . 2007-05-02 20:19 -------- d-----w- c:\dokumente und einstellungen\++++\Anwendungsdaten\phonostar-Player
2009-08-19 09:31 . 2006-09-02 12:37 -------- d-----w- c:\programme\devolo
2009-08-19 06:33 . 2005-09-15 09:04 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-08-19 06:32 . 2005-09-15 09:05 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-08-05 09:05 . 2005-09-15 09:39 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 18:56 . 2005-09-15 09:39 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2005-09-15 09:40 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-06-26 15:59 . 2005-09-15 09:39 673792 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 15:58 . 2005-09-15 09:39 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-25 08:17 . 2005-09-15 09:39 59392 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:17 . 2005-09-15 09:39 56320 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:17 . 2005-09-15 09:39 168448 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:17 . 2005-09-15 09:39 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-06-25 08:17 . 2005-09-15 09:39 737280 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:17 . 2005-09-15 09:39 301568 ----a-w- c:\windows\system32\kerberos.dll
2009-06-22 11:35 . 2005-09-15 09:39 92544 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-06-16 14:53 . 2005-09-15 09:39 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:53 . 2005-09-15 09:39 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 11:32 . 2005-09-15 09:39 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:22 . 2005-09-15 09:39 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2005-09-15 09:39 132096 ----a-w- c:\windows\system32\wkssvc.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA61DE26-FA67-4575-9033-918671094293}]
2008-08-14 13:57 2484224 ----a-w- c:\dokumente und einstellungen\++++\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\++++\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]

[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\++++\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]

[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus C86 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE" [2003-11-25 99840]
"PhonostarAgent"="c:\programme\phonostar\ps_agent.exe" [2007-12-05 98304]
"PhonostarTimer"="c:\programme\phonostar\ps_timer.exe" [2007-12-05 126976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 339968]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-01-19 82010]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-01-19 761946]
"LaunchAp"="c:\launch manager\LaunchAp.exe" [2005-03-30 32768]
"HotkeyApp"="c:\launch manager\HotkeyApp.exe" [2005-05-02 57344]
"LMgrVolOSD"="c:\launch manager\OSD.exe" [2005-03-16 204800]
"LMgrOSD"="c:\launch manager\OSDCtrl.exe" [2004-10-11 245760]
"Wbutton"="c:\launch manager\Wbutton.exe" [2005-04-18 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"CtrlVol"="c:\launch manager\CtrlVol.exe" [2003-09-16 20480]
"EPSON Stylus C86 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE" [2003-11-25 99840]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Elements 4.0\apdproxy.exe" [2005-09-08 57344]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-08-01 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-6-3 110592]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"c:\\Programme\\Soulseek\\slsk.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\Windows Media Player\\wmplayer.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Dokumente und Einstellungen\\D.Loiberzeder\\Desktop\\Skype.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Adobe\\Adobe Help Center\\ahc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"554:TCP"= 554:TCP:554
"554:UDP"= 554:UDP:554
"1755:TCP"= 1755:TCP:1755
"1755:UDP"= 1755:UDP:1755

R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [15.09.2005 11:47 200192]
S1 mailKmd;mailKmd; [x]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\system32\PLCMPR5.SYS --> c:\windows\system32\PLCMPR5.SYS [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
.
Inhalt des "geplante Tasks" Ordners

2009-08-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Arcor Online - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = about:blank
mWindow Title = Microsoft Internet Explorer
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
IE: &Winamp Toolbar Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\++++\Anwendungsdaten\Mozilla\Firefox\Profiles\2bmpdr57.default\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-07 20:25
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = c:\launch manager\CtrlVol.exe???????8???????H???T??????|x??|????q??|?j?wQj?w????????,??? ???|???????????\??????|????????h?????@????????????????s???????s???sx??s@??????????????|h??sl??????????s?????????????????C?sc"?sx??s????(J?w??@?N'?s??? ?-6@????????????
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus C86 Series = c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /M "Stylus C86" /EF "HKCU"???????/???????-???V???????????oc7~????????????????`????????????????????c7~????`???????+???8???????????x?8~????`?????????8~`??????????????|???????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(588)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-09-07 20:27
ComboFix-quarantined-files.txt 2009-09-07 18:27

Vor Suchlauf: 17 Verzeichnis(se), 43.688.206.336 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 44.823.339.008 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

164 --- E O F --- 2009-08-27 14:21
#

Gruß, Tintoretto

Zitat:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = c:\launch manager\CtrlVol.exe???????8???????H???T??????|x??| ????q??|?j?wQj?w????????,??? ???|???????????\??????|????????h?????@???????????? ????s???????s???sx??s@??????????????|h??sl???????? ??s?????????????????C?sc"?sx??s????(J?w??@?N'?s??? ?-6@????????????
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus C86 Series = c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0R 2.EXE /P23 "EPSON Stylus C86 Series" /M "Stylus C86" /EF "HKCU"???????/???????-???V???????????oc7~????????????????`?????????????? ??????c7~????`???????+???8???????????x?8~????`???? ?????8~`??????????????|???????

Ach Du Sch... was ist das denn??


Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus.



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\WINDOWS\system32\drivers\mailKmd.sys

drivers to delete:
mailKmd
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.