Hallo zusammen,

ich bräuchte mal Eueren Rat, der Rechner meines Schwiegervaters ist seit ner Weile mit o.g. Trojaner infiziert, habe gestern abend mal das Log File von High Jackthis gezogen,poste das nun hier und hoffe inständig das mir jemand tips geben kann, wie ich diesen nervigen Trojaner wieder runter bekomme, ohne die ganze Platte formatieren zu müssen

Log File :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:18:50, on 22.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\2b8c20141.dll""
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\2b8c20141.dll"" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

--
End of file - 3506 bytes


Für Eure hoffentlich zahlreichen tips schonmal im Vorraus herzlichen Dank
(auch im Namen meines Schwiegervaters), Bap

Halli hallo.

Der Rechner stammt aus dem Mittelalter. Service Pack 3 ist Pflicht!
Bitte installiere das nach dem die Bereinigung abgeschlossen ist.

GMER - Rootkit Detection

• Lade GMER von hier herunter. (Etwas weiter unten auf der Seite findet sich der Button "Download EXE". Es wird ein zufälliger Dateiname erzeugt.)
• Doppelklicke die zufälligerDateiname.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Zitat:

Zitat von undoreal

Halli hallo.

Der Rechner stammt aus dem Mittelalter. Service Pack 3 ist Pflicht!
Bitte installiere das nach dem die Bereinigung abgeschlossen ist.

GMER - Rootkit Detection

• Lade GMER von hier herunter. (Etwas weiter unten auf der Seite findet sich der Button "Download EXE". Es wird ein zufälliger Dateiname erzeugt.)
• Doppelklicke die zufälligerDateiname.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Hallo, vielen lieben Dank für deine schnelle Antwort :-)

Ich werde deinen Rat befolgen und deinen Arbeitsplan ab arbeiten und dann die Sachen hier posten, kann allerdings ein paar Tage dauern bis ich wieder bei meinem Schwiegervater bin.

Nochmals vielen lieben Dank für Deine Antwort, Gruß Bap

Wenn das noch ein paar Tage dauern sollte, sollte dein Schwiegervater den Rechner vom Interntet trennen und schauen, das er alle seine wichtigen Passworte von einem sauberen PC aus aendert. Besonders, was Email und Onlinebanking angeht, da wohl schon laengere Zeit ein Silent Banker da aktiv ist.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macrome dia\Common\2b8c20141.dll
Das ganze lieber heute als morgen!

So, bin nun doch schon am PC vom Schwiegervater und beim Versuch zu retten, was zu retten ist :-)

hier das Post zum Log von Rootkit Detection :

GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-23 18:16:27
Windows 5.1.2600 Service Pack 2
Running: 9ru80uwz.exe; Driver: C:\DOKUME~1\admin\LOKALE~1\Temp\pxtdapow.sys


---- System - GMER 1.0.15 ----

SSDT FA032EEE ZwCreateKey
SSDT FA032EE4 ZwCreateThread
SSDT FA032EF3 ZwDeleteKey
SSDT FA032EFD ZwDeleteValueKey
SSDT FA032F02 ZwLoadKey
SSDT FA032ED0 ZwOpenProcess
SSDT FA032ED5 ZwOpenThread
SSDT FA032F0C ZwReplaceKey
SSDT FA032F07 ZwRestoreKey
SSDT FA032EF8 ZwSetValueKey
SSDT FA032EDF ZwTerminateProcess

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\svchost.exe[448] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 00910000; RET
.text C:\WINDOWS\system32\svchost.exe[448] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 00900000; RET
.text C:\WINDOWS\system32\svchost.exe[448] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 008F0000; RET
.text C:\WINDOWS\system32\svchost.exe[448] ADVAPI32.dll!CryptDeriveKey 77DBA685 6 Bytes PUSH 00980000; RET
.text C:\WINDOWS\system32\svchost.exe[448] ADVAPI32.dll!CryptImportKey 77DBA879 6 Bytes PUSH 00960000; RET
.text C:\WINDOWS\system32\svchost.exe[448] ADVAPI32.dll!CryptGenKey 77DE14B1 6 Bytes PUSH 00970000; RET
.text C:\WINDOWS\system32\svchost.exe[448] WS2_32.dll!send 71A1428A 6 Bytes PUSH 00920000; RET
.text C:\WINDOWS\system32\winlogon.exe[532] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 012B0000; RET
.text C:\WINDOWS\system32\winlogon.exe[532] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 01230000; RET
.text C:\WINDOWS\system32\winlogon.exe[532] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 01220000; RET
.text C:\WINDOWS\system32\winlogon.exe[532] ADVAPI32.dll!CryptDeriveKey 77DBA685 6 Bytes PUSH 01320000; RET
.text C:\WINDOWS\system32\winlogon.exe[532] ADVAPI32.dll!CryptImportKey 77DBA879 6 Bytes PUSH 01300000; RET
.text C:\WINDOWS\system32\winlogon.exe[532] ADVAPI32.dll!CryptGenKey 77DE14B1 6 Bytes PUSH 01310000; RET
.text C:\WINDOWS\system32\winlogon.exe[532] WS2_32.dll!send 71A1428A 6 Bytes PUSH 012C0000; RET
.text C:\WINDOWS\system32\services.exe[576] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 007D0000; RET
.text C:\WINDOWS\system32\services.exe[576] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 007C0000; RET
.text C:\WINDOWS\system32\services.exe[576] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 007B0000; RET
.text C:\WINDOWS\system32\services.exe[576] ADVAPI32.dll!CryptDeriveKey 77DBA685 6 Bytes PUSH 00A10000; RET
.text C:\WINDOWS\system32\services.exe[576] ADVAPI32.dll!CryptImportKey 77DBA879 6 Bytes PUSH 009F0000; RET
.text C:\WINDOWS\system32\services.exe[576] ADVAPI32.dll!CryptGenKey 77DE14B1 6 Bytes PUSH 00A00000; RET
.text C:\WINDOWS\system32\services.exe[576] WS2_32.dll!send 71A1428A 6 Bytes PUSH 008A0000; RET
.text C:\WINDOWS\system32\lsass.exe[588] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 00C80000; RET
.text C:\WINDOWS\system32\lsass.exe[588] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 00C70000; RET
.text C:\WINDOWS\system32\lsass.exe[588] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 00C60000; RET
.text C:\WINDOWS\system32\lsass.exe[588] ADVAPI32.dll!CryptDeriveKey 77DBA685 6 Bytes PUSH 00C90000; RET
.text C:\WINDOWS\system32\lsass.exe[588] ADVAPI32.dll!CryptImportKey 77DBA879 6 Bytes PUSH 00060000; RET
.text C:\WINDOWS\system32\lsass.exe[588] ADVAPI32.dll!CryptGenKey 77DE14B1 6 Bytes PUSH 00070000; RET
.text C:\WINDOWS\system32\lsass.exe[588] WS2_32.dll!send 71A1428A 6 Bytes PUSH 00040000; RET
.text C:\WINDOWS\System32\svchost.exe[892] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 00E60000; RET
.text C:\WINDOWS\System32\svchost.exe[892] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 00E50000; RET
.text C:\WINDOWS\System32\svchost.exe[892] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 00E40000; RET
.text C:\WINDOWS\System32\svchost.exe[892] ADVAPI32.dll!CryptDeriveKey 77DBA685 6 Bytes PUSH 016F0000; RET
.text C:\WINDOWS\System32\svchost.exe[892] ADVAPI32.dll!CryptImportKey 77DBA879 6 Bytes PUSH 016B0000; RET
.text C:\WINDOWS\System32\svchost.exe[892] ADVAPI32.dll!CryptGenKey 77DE14B1 6 Bytes PUSH 016E0000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WS2_32.dll!send 71A1428A 6 Bytes PUSH 00FF0000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!CommitUrlCacheEntryA 77185319 6 Bytes PUSH 00F20000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!InternetConnectA 771944DB 6 Bytes PUSH 00AA0000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!HttpOpenRequestA 77194AC5 6 Bytes PUSH 00AB0000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!HttpAddRequestHeadersA 771954CA 6 Bytes PUSH 00AE0000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!HttpSendRequestA 771976B8 6 Bytes PUSH 00AC0000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!InternetReadFile 77199555 6 Bytes PUSH 00A80000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!InternetQueryDataAvailable 771A325F 6 Bytes PUSH 00A90000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!HttpAddRequestHeadersW 771A5E41 6 Bytes PUSH 00AF0000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!HttpOpenRequestW 771A6345 6 Bytes PUSH 00F00000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!InternetWriteFile 771C7953 6 Bytes PUSH 00EF0000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!InternetReadFileExA 771C7E9A 6 Bytes PUSH 00F40000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!InternetReadFileExW 771C88D6 6 Bytes PUSH 00FD0000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!HttpSendRequestW 771E1808 6 Bytes PUSH 00AD0000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!CommitUrlCacheEntryW 771EF23B 6 Bytes PUSH 00F30000; RET
.text C:\WINDOWS\System32\svchost.exe[892] WININET.dll!InternetErrorDlg 771FBC5D 6 Bytes PUSH 00F10000; RET
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 00640000; RET
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 00630000; RET
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 00620000; RET
.text C:\WINDOWS\system32\svchost.exe[960] ADVAPI32.dll!CryptDeriveKey 77DBA685 3 Bytes [68, 00, 00]
.text C:\WINDOWS\system32\svchost.exe[960] ADVAPI32.dll!CryptDeriveKey + 4 77DBA689 2 Bytes [00, C3] {ADD BL, AL}
.text C:\WINDOWS\system32\svchost.exe[960] ADVAPI32.dll!CryptImportKey 77DBA879 6 Bytes PUSH 00710000; RET
.text C:\WINDOWS\system32\svchost.exe[960] ADVAPI32.dll!CryptGenKey 77DE14B1 6 Bytes PUSH 009F0000; RET
.text C:\WINDOWS\system32\svchost.exe[960] WS2_32.dll!send 71A1428A 6 Bytes PUSH 00650000; RET
.text C:\WINDOWS\system32\svchost.exe[1100] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 006E0000; RET
.text C:\WINDOWS\system32\svchost.exe[1100] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 006D0000; RET
.text C:\WINDOWS\system32\svchost.exe[1100] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 006C0000; RET
.text C:\WINDOWS\system32\svchost.exe[1100] ADVAPI32.dll!CryptDeriveKey 77DBA685 6 Bytes PUSH 009C0000; RET
.text C:\WINDOWS\system32\svchost.exe[1100] ADVAPI32.dll!CryptImportKey 77DBA879 6 Bytes PUSH 00710000; RET
.text C:\WINDOWS\system32\svchost.exe[1100] ADVAPI32.dll!CryptGenKey 77DE14B1 6 Bytes PUSH 009B0000; RET
.text C:\WINDOWS\system32\svchost.exe[1100] WS2_32.dll!send 71A1428A 6 Bytes PUSH 006F0000; RET
.text C:\Programme\Mozilla Firefox\firefox.exe[1168] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 00A00000; RET
.text C:\Programme\Mozilla Firefox\firefox.exe[1168] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 009F0000; RET
.text C:\Programme\Mozilla Firefox\firefox.exe[1168] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 009E0000; RET
.text C:\Programme\Mozilla Firefox\firefox.exe[1168] ADVAPI32.dll!CryptDeriveKey 77DBA685 6 Bytes PUSH 00A70000; RET
.text C:\Programme\Mozilla Firefox\firefox.exe[1168] ADVAPI32.dll!CryptImportKey 77DBA879 6 Bytes PUSH 00A50000; RET
.text C:\Programme\Mozilla Firefox\firefox.exe[1168] ADVAPI32.dll!CryptGenKey 77DE14B1 6 Bytes PUSH 00A60000; RET
.text C:\Programme\Mozilla Firefox\firefox.exe[1168] WS2_32.dll!send 71A1428A 6 Bytes PUSH 00A10000; RET
.text C:\WINDOWS\Explorer.EXE[1328] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 00BA0000; RET
.text C:\WINDOWS\Explorer.EXE[1328] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 00B90000; RET
.text C:\WINDOWS\Explorer.EXE[1328] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 00B80000; RET
.text C:\WINDOWS\system32\spoolsv.exe[1452] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 00B80000; RET
.text C:\WINDOWS\system32\spoolsv.exe[1452] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 00B70000; RET
.text C:\WINDOWS\system32\spoolsv.exe[1452] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 00B60000; RET
.text C:\WINDOWS\system32\spoolsv.exe[1452] ADVAPI32.dll!CryptDeriveKey 77DBA685 6 Bytes PUSH 00BF0000; RET
.text C:\WINDOWS\system32\spoolsv.exe[1452] ADVAPI32.dll!CryptImportKey 77DBA879 6 Bytes PUSH 00BD0000; RET
.text C:\WINDOWS\system32\spoolsv.exe[1452] ADVAPI32.dll!CryptGenKey 77DE14B1 6 Bytes PUSH 00BE0000; RET
.text C:\WINDOWS\system32\spoolsv.exe[1452] WS2_32.dll!send 71A1428A 6 Bytes PUSH 00B90000; RET
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1576] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 01690000; RET
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1576] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 01680000; RET
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1576] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 01670000; RET
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1576] ADVAPI32.dll!CryptDeriveKey 77DBA685 6 Bytes PUSH 01700000; RET
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1576] ADVAPI32.dll!CryptImportKey 77DBA879 6 Bytes PUSH 016E0000; RET
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1576] ADVAPI32.dll!CryptGenKey 77DE14B1 6 Bytes PUSH 016F0000; RET
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1576] WS2_32.dll!send 71A1428A 6 Bytes PUSH 016A0000; RET
.text C:\WINDOWS\system32\ctfmon.exe[1800] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 00BB0000; RET
.text C:\WINDOWS\system32\ctfmon.exe[1800] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 00BA0000; RET
.text C:\WINDOWS\system32\ctfmon.exe[1800] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 00B90000; RET
.text C:\WINDOWS\system32\ctfmon.exe[1800] ADVAPI32.dll!CryptDeriveKey 77DBA685 6 Bytes PUSH 00C20000; RET
.text C:\WINDOWS\system32\ctfmon.exe[1800] ADVAPI32.dll!CryptImportKey 77DBA879 6 Bytes PUSH 00C00000; RET
.text C:\WINDOWS\system32\ctfmon.exe[1800] ADVAPI32.dll!CryptGenKey 77DE14B1 6 Bytes PUSH 00C10000; RET
.text C:\WINDOWS\system32\ctfmon.exe[1800] WS2_32.dll!send 71A1428A 6 Bytes PUSH 00BC0000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 00900000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 008E0000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 008D0000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] ADVAPI32.dll!CryptDeriveKey 77DBA685 6 Bytes PUSH 01360000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] ADVAPI32.dll!CryptImportKey 77DBA879 6 Bytes PUSH 01340000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] ADVAPI32.dll!CryptGenKey 77DE14B1 6 Bytes PUSH 01350000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] USER32.dll!PeekMessageW 77D19278 6 Bytes PUSH 01240000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WS2_32.dll!send 71A1428A 6 Bytes PUSH 01300000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!CommitUrlCacheEntryA 77185319 6 Bytes PUSH 01200000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!InternetConnectA 771944DB 6 Bytes PUSH 00BE0000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!HttpOpenRequestA 77194AC5 6 Bytes PUSH 00FE0000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!HttpAddRequestHeadersA 771954CA 6 Bytes PUSH 011B0000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!HttpSendRequestA 771976B8 6 Bytes PUSH 00FF0000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!InternetReadFile 77199555 6 Bytes PUSH 00BC0000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!InternetQueryDataAvailable 771A325F 6 Bytes PUSH 00BD0000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!HttpAddRequestHeadersW 771A5E41 6 Bytes PUSH 011C0000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!HttpOpenRequestW 771A6345 6 Bytes PUSH 011E0000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!InternetWriteFile 771C7953 6 Bytes PUSH 011D0000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!InternetReadFileExA 771C7E9A 6 Bytes PUSH 01220000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!InternetReadFileExW 771C88D6 6 Bytes PUSH 01230000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!HttpSendRequestW 771E1808 6 Bytes PUSH 011A0000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!CommitUrlCacheEntryW 771EF23B 6 Bytes PUSH 01210000; RET
.text C:\Programme\Messenger\msmsgs.exe[1812] WININET.dll!InternetErrorDlg 771FBC5D 6 Bytes PUSH 011F0000; RET
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[1904] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 012C0000; RET
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[1904] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 012B0000; RET
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[1904] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 012A0000; RET
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[1904] ADVAPI32.dll!CryptDeriveKey 77DBA685 6 Bytes PUSH 01330000; RET
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[1904] ADVAPI32.dll!CryptImportKey 77DBA879 6 Bytes PUSH 01310000; RET
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[1904] ADVAPI32.dll!CryptGenKey 77DE14B1 6 Bytes PUSH 01320000; RET
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[1904] WS2_32.dll!send 71A1428A 6 Bytes PUSH 012D0000; RET
.text C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE[2024] kernel32.dll!VirtualProtectEx 7C801A5D 6 Bytes PUSH 01400000; RET
.text C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE[2024] kernel32.dll!CreateProcessW 7C802332 6 Bytes PUSH 013F0000; RET
.text C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE[2024] kernel32.dll!ExitProcess 7C81CAA2 6 Bytes PUSH 013E0000; RET
.text C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE[2024] ADVAPI32.dll!CryptDeriveKey 77DBA685 6 Bytes PUSH 01470000; RET
.text C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE[2024] ADVAPI32.dll!CryptImportKey 77DBA879 6 Bytes PUSH 01450000; RET
.text C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE[2024] ADVAPI32.dll!CryptGenKey 77DE14B1 6 Bytes PUSH 01460000; RET
.text C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE[2024] WS2_32.dll!send 71A1428A 6 Bytes PUSH 01410000; RET

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----


Ich hoffe ihr könnt damit was anfangen :-)

Gruß Bap

so..und schon wieder ich..hier nun das log der mbr.exe :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Hoffe ich hab bis dato alles richtig gemacht, wie gehts denn nu weiter?

Gruß Bap

Poste bitte zwei AVZ logs wie in der Anleitung beschrieben wird.

Zitat:

Zitat von undoreal

Poste bitte zwei AVZ logs wie in der Anleitung beschrieben wird.

Hier bin ich schon wieder mit den beiden AVZ logs :

Führe mit AVZ folgendes Skript aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
SearchRootkit (true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\DOKUME~1\admin\LOKALE~1\Temp\WinIo.sys');
 DeleteFileMask('C:\DOKUME~1\admin\LOKALE~1\Temp', '*.*', true);
 DeleteFileMask('%Temp%', '*.*', true);
 DeleteFileMask('C:\DOKUME~1\admin\ANWEND~1\MACROM~1\Common',  '*.*', true);
 DeleteFileMask('C:\DOKUME~1\admin\ANWEND~1\MACROM~1',  '*.*', true);
 DeleteDirectory('C:\DOKUME~1\admin\ANWEND~1\MACROM~1');
 DeleteFileMask('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia');
 DeleteFileMask('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia');
 DeleteFileMask('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
 SetServiceStart('RDSessMgr', 4);
 SetServiceStart('mnmsrvc', 4);
 SetServiceStart('Schedule', 4);
 SetServiceStart('SSDPSRV', 4);
 SetServiceStart('TermService', 4);
 SetServiceStart('RemoteRegistry', 4);
ExecuteWizard('TSW', 3, 3, true); 
RebootWindows(true);
end.
         

Der Rechner startet dabei neu.

Poste anschließend bitte zwei neue AVZ logs.

Hast du die Empfehlung von raman befolgt?

Alle Passwörter von einem sauberen PC aus ändern!!

Zitat:

Zitat von undoreal

Führe mit AVZ folgendes Skript aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
SearchRootkit (true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\DOKUME~1\admin\LOKALE~1\Temp\WinIo.sys');
 DeleteFileMask('C:\DOKUME~1\admin\LOKALE~1\Temp', '*.*', true);
 DeleteFileMask('%Temp%', '*.*', true);
 DeleteFileMask('C:\DOKUME~1\admin\ANWEND~1\MACROM~1\Common',  '*.*', true);
 DeleteFileMask('C:\DOKUME~1\admin\ANWEND~1\MACROM~1',  '*.*', true);
 DeleteDirectory('C:\DOKUME~1\admin\ANWEND~1\MACROM~1');
 DeleteFileMask('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia');
 DeleteFileMask('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia');
 DeleteFileMask('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
 SetServiceStart('RDSessMgr', 4);
 SetServiceStart('mnmsrvc', 4);
 SetServiceStart('Schedule', 4);
 SetServiceStart('SSDPSRV', 4);
 SetServiceStart('TermService', 4);
 SetServiceStart('RemoteRegistry', 4);
ExecuteWizard('TSW', 3, 3, true); 
RebootWindows(true);
end.
         

Der Rechner startet dabei neu.

Poste anschließend bitte zwei neue AVZ logs.

Hast du die Empfehlung von raman befolgt?

Alle Passwörter von einem sauberen PC aus ändern!!

Hallo und guten abend, Danke für deine neue Nachricht, ich werde allerdings erst vorraussichtlich Donnerstag abend wieder dazu kommen, an dem infizierten PC weiter zu arbeiten. Hab meinem Schwiegervater bis dato jeglichen Internet Gebrauch verboten ;-)

Danke nochmals und hoff. bis übermorgen Abend, Gruß Bap

Poste anschließend bitte zwei neue AVZ logs.

Hast du die Empfehlung von raman befolgt?

Alle Passwörter von einem sauberen PC aus ändern!![/QUOTE]



Hallo und guten Abend,

hier bin ich wieder, hab das Script "erfolgreich" ausgeführt, hier nun die beiden neuen AVZ Logs:




Denke der Trojaner iss noch nicht ganz beseitigt da ich während der Ausführung von AVZ noch 3 Warnmeldungen bekam.

Bin gespannt wie es weiter geht und sag schon mal wieder vielen Dank im Vorraus.

Gruß Bap

Was für Warnmeldungen waren das?

Zitat:

Zitat von undoreal

Was für Warnmeldungen waren das?

Hallo :-)

im Prinzip die gleichen wie vorher auch...Antivir meldet sich mit der Warnmeldung
TR/Crypt.FKM:GEN in Verzeichnissen gefunden, allerdings dieses mal andere Adressen wie noch letztens

Gruß Bap


hier die Meldungen :


Erste :
In der Datei 'C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\2b8c20141.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Zweite :

In der Datei 'C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\avz_1520_raw.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

und die dritte und letzte :

In der Datei 'C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\2b8c20141.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Gruß Bap

Führe bitte folgendes Skript aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
SearchRootkit (true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\DOKUME~1\admin\LOKALE~1\Temp\WinIo.sys');
 DeleteFileMask('C:\DOKUME~1\admin\LOKALE~1\Temp', '*.*', true);
 DeleteFileMask('%Temp%', '*.*', true);
 DeleteFileMask('C:\DOKUME~1\admin\ANWEND~1\MACROM~1\Common',  '*.*', true);
 DeleteFileMask('C:\DOKUME~1\admin\ANWEND~1\MACROM~1',  '*.*', true);
 DeleteDirectory('C:\DOKUME~1\admin\ANWEND~1\MACROM~1');
 DeleteFileMask('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia');
 DeleteFileMask('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia');
 DeleteFileMask('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia');
 DelCLSID('{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}');
 DeleteFile('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia\Common\2b8c20141.dll');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\2b8c20141.dll');
 DeleteFileMask('C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp',  '*.*', true);
 DeleteFileMask('C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common', '*.*', true);
 QuarantineFile('mvfs32.dll');
 DeleteFile('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia\Common\2b8c20141.dll');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Control Panel\IOProcs','MVB');
 DeleteFile('mvfs32.dll');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_CURRENT_USER','Control Panel\IOProcs','MVB');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 2, 2, true); 
RebootWindows(true);
end.
         

In der Anleitung zu AVZ steht doch du sollst AntiVir deaktiveren während du mit AVZ arbeitest!!