Also, wie die Überschrift schon sagt, hab ich mehrere Probleme gleichzeitig. Ist das eine Problem gelöst gewesen, tauchte das nächste auf oder wieder Beides. Ich hab für jedes einzelne Gegoogelt und mehrere Dinge ausprobiert. Aber ohne Erfolg.

Bei der tronjaner tr/drop.Rkit.ey hat er sich in den Temp ordner geschlichen und die datei bn7d8.tmp erstellt. Erst stellte ich diesen in Quarantäne
und später löschte ich ihn daraufhin. Für den Moment passte alles, doch sobald ich meinen Pc neu startete, war diese Datei wieder da. Auch probierte ich das Programm CCleander, wo man meinte..der würde das problem vernichten können. Aber auch fehlanzeige,derzeit steckt die datei wieder in quarantäne, weil sie erneut auftauchte

Ansich ist mein Virenprogramm Avira Antivira personal-edition.

Des weiteren ist mir heut nochwas zugstoßen. Als mich jemand von den Messanger MSN anschrieb, brachte mir auf einmal Avira die Meldung
das der Trojaner -> tr/tool.injector.605242 in der datei photo_it.exegefunden wurde(Diese ist im sytem32/)

Ich habe nicht oft den Taksmanager aufgerufen, aber diese datei fiel mir sofort ins auge (also der laufende prozess). Und das, bevor die Virenmeldung auftrat.

Auch diese Datei wollte ich zumind. mit Avira Antivira in Quarantäne stellen, was aber gar nicht ging. Das Virenprogrogramm verschob die datei zwar in Quarantäne, aber erneut brachte mir das Programm die Virenmeldung. Ich hätte x-mal diese Datei verschieben können oder löschen, doch nichts half. Erst als ich auf "datei umbennenen" drückte, war mit der Meldung ruh. Was aber nicht heißt, er ist verschwunden..denk ich.

Ansich habe ich auch schon im Abgesicherten Modus das virenprogramm laufen lassen. Was aber auch kein gezieltes ergebnis gebracht hat.
Es hätte sein können, das ein Virus versteckt ist und immer erneut die Anderen Virendatei beim löschen erneut erstellt.


Was vielleicht noch wichtig ist, gestern oder vorgestern brachte mir OBENDREIN mir Avira antivira noch diese meldung
tr crypt.zpack.gen..dich ich weiß leider nicht mehr, in welcher datei diese steckte. ABer grob kann ich mich daran erinner, das das auch im Temp-Ordner versteckt war. Vielleicht hängen diese ganzen Viren miteinander zusammen

Vielleicht kann man mir weiterhelfen und ich hoff, das ich meine Angaben so gut wie möglich gemacht habe. Ich bin nicht sonderlich gut in sowas und Hasse einfach die Viren...es sind zwar "nur trojaner" und nichts, was den Pc schrotten könnte, aber es muss ja nicht sein ;_;
Hier noch die benötigten angaben:

PS: Noch hinzufügen möchte ich, das ich ein Northen Viren programm auf dem Pc oben habe (das war standard bei dem laptop) dies aber sich nicht deinstallieren lässt und das shcon seit langem + kann nicht mal mit dem Programm CCleaner deinstalliert werden. Die deinstallation bleibt "laut fehler bei Northen" hängen. Ob der nicht vllt blockt oder gar die Viren anzieht?!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:12:19, on 01.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe
C:\WINDOWS\system32\lxdicoms.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\HP\QuickPlay\QPService.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe
C:\WINDOWS\V0230Mon.exe
C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE
c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2096149
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll
R3 - URLSearchHook: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll
O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll
O3 - Toolbar: StumbleUpon Toolbar - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C:\Programme\StumbleUpon\StumbleUponIEBar.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [lxdimon.exe] "C:\Programme\Lexmark 3500-4500 Series\lxdimon.exe"
O4 - HKLM\..\Run: [lxdiamon] "C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [V0230Mon.exe] C:\WINDOWS\V0230Mon.exe
O4 - HKLM\..\Run: [AVFX Engine] C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [photo_id] C:\WINDOWS\system32\photo_id.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [Antivirus] C:\Programme\Antivirus2008\Antvrs.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [photo_id] C:\Dokumente und Einstellungen\***\photo_id.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: algqeh32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203634056703
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - c:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe
O23 - Service: lxdi_device - - C:\WINDOWS\system32\lxdicoms.exe
O23 - Service: Norton Protection Center-Dienst (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe

--
End of file - 13375 bytes


PS: Noch hinzufügen möchte ich, das ich ein Northen Viren programm auf dem Pc oben habe (das war standard bei dem laptop) diese sich aber nicht deinstallieren lässt und das schon seit langem . Kann nicht mal mit dem Programm CCleaner deinstalliert werden. Die deinstallation bleibt einfach hängen, weil laut Norten Security ein "schwerwiegender fehler behoben werden muss" . Ob das Programm nicht mein Avira Antivira blockt oder gar die Viren anzieht >_<



Es tut mir echt leid, wenn ich euch damit belästige und ihr daruch Kopfschmerzen bekommt, aber ihr seit da meine letzte Hilfe. Ich komm einfach nicht weiter T_T Arbeite mit Grafiken und erstelle diese auch selber. Deshalb ist mir der Laptop wichtig, obendrein habe ich einfach angst, mit einem USB-Stick meinen anderen Rechner zu verseuchen. Wäre das gut möglich, das nur mit bloßem anstecken zu erzeugen? Ich weiß ja nicht, inwieweit diese Trojaner angriffslustig sind ^^;

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\photo_id.exe
C:\Programme\Antivirus2008\Antvrs.exe
C:\WINDOWS\algqeh32.exe
oder in
C:\WINDOWS\system32\algqeh32.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|photo_id
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Regedit32
 
Files to delete:
C:\WINDOWS\system32\regedit.exe <-nur wenn erkannt (diesen Kommentar weglöschen)
C:\WINDOWS\system32\photo_id.exe

Folders to delete:
C:\Programme\Antivirus2008\Antvrs.exe
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [photo_id] C:\WINDOWS\system32\photo_id.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [Antivirus] C:\Programme\Antivirus2008\Antvrs.exe
O4 - Startup: algqeh32.exe
         

Danach:
Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Chris

Info: Habe ansich photo_id.EXE nicht gefunden, nur photo_id.VIR (vllt hat mein virenprogramm es umbenannt..ka)

MD5: 66419f6c26b8f8157c4ddef64dcdf165
First received: 2009.11.26 05:47:39 UTC
Datum 2009.12.01 16:27:03 UTC [+1D]
Ergebnisse 14/40
Permalink: analisis/e510780c5f12b5ce6929586e61a4acf31c74d8f8d2e98ca161bb2a0026b6c329-1259684823


größe 59,1 kb

C:windows/system32/

---

Regedit.exe war nicht im sytem 32 ordner sondern nur in windows (ka ob das wichtig ist oder nicht..post es einfach mal rein)

MD5: 8193ce5fb09e83f2699fd65bbcbe2fd2
First received: 2007.06.16 14:28:36 UTC
Datum 2009.10.12 10:50:26 UTC [>51D]
Ergebnisse 0/41
Permalink: analisis/a309a13fd936ab600c895d4b5f677fd66c60f8b7c74eea7653df6ba36c45434b-1255344626

größe 150 kb

----

die datei algqeh.exe wurde nicht im ordner windows oder system 32 gefunden, sondern
in dem folgenden ordner : dokumente und einstellungen/***/startmenü/programme/autostart/algqhe.exe


ich muss hinzufügen, das mir heute beim hochladen des pc´s Antivira diese Meldung brachte (juhu...noch ein neuer Trojaner sch****)

-TR/Drop.HDrop.S

hab das dennoch mal gescannt

MD5: 53756f722cde4c00211b698f01bb8625
First received: 2009.11.28 01:25:24 UTC
Datum 2009.11.30 07:28:30 UTC [>2D]
Ergebnisse 7/41
Permalink: analisis/0cf5bec26618e147cecc970661935a353461eb52fb09f2840f646b901d2796c8-1259566110

größe 16,5



----

Zur info, bei allen 3 dateien ist sofort Avira angesprungen (als ich mit dem Cursor darüberging) und wollte den "zugriff" verweigern



Und zu der datei Antivirus 2008, bitte schaut euch mein Erstellte übersicht an, ich habe die Datei nicht gefunden. Doch damit ihr einen überblick habt und es vllt leichter
für euch ist, hab ich das extra zusammengestellt ^^

http://img403.imageshack.us/img403/4854/infofrhelfer.jpg (hab es wohl zu gut mit der größe gemeind *hust)

Soll ich das gleich mit Avenger durchführen oder erst auf eure Analyse abwarten. Leider wusst ich nicht, was man mit HASH meint. Bitte gebt mir da becheid, was die abkürzung bedeutet und ich
werde geschwind das nachtragen. Und falls ihr einen Systemscan braucht, sagt bescheid. Da ja komischerweise manch dateien nicht auffindbar waren oder gar in ganz anderen ordner, als wie



mir ist noch gerade was aufgefallen, bei der Dateisuche nach photo_id.EXE
(die ja nicht mehr existiert)

Und zwar im folgenden Ornder: C:Windows/prefetch/

sind folgende dateien noch mit drin, die mir verdächtig vorkommen:

~TM7DC.TMP-3010B2A4.pf
~TM7DB.TMP-09BADB9C.pf
~TM7DB.TMP-09BADB9C.pf
~TM7DC.TMP-3010B2A4.pf

die hören sich so an,wie die zwei Temp-dateien, die derzeit in quarantäne stecken:

Dokumente und Einstellungen/***/lokale einstellungen/temp/BN7D8.tmp
Dokumente und Einstellungen/***/lokale einstellungen/temp/BN7DB.tmp


Und noch die zwei hier:

ALGQEH32.EXE-19EFA8D3.pf
REGEDIT.EXE-1B606482.pf

jedoch wurde keine Photo_id. exe oder Photo_id.vir in dem ordner aufgelistet !!!



sorry, wenn ich soviel poste. Doch ich denk, umso mehr ihr wisst, umso leichter könnt ihr es bearbeiten und ich möcht euch auf jedenfall nicht auf die palme bringen ;_; Ihr seit ja meine letzte hoffnung *verbeug

Hi,

bitte das Avenger script abfackeln (keinesfalls die Pfade für regedit ändern, der richtige liegt im windows-verzeichnis, der falsche im windows\system32-Verzeichnis.

Passe vorher den Pfad noch für die Datei "algqhe.exe" richtig an:
C:/dokumente und einstellungen/***/startmenü/programme/autostart/algqhe.exe (sternchen raus und gegen user ersetzten).
Das ist der Dropper, der nach dem löschen die Trojaner wieder neu runterlädt...

Das Avengerscript sollte dann so aussehen (Sternchen gegen User ersetzen, nicht vergessen!):

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|photo_id
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Regedit32
 
Files to delete:
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\photo_id.exe
C:\dokumente und einstellungen\***\startmenü\programme\autostart\algqhe.exe

Folders to delete:
C:\Programme\Antivirus2008\Antvrs.exe
C:\Dokumente und Einstellungen\***\lokale einstellungen\temp
         

Nach Avenger unbedingt wie beschrieben MAM drüberjagen, wichtig: Fullscann und alles bereinigen lassen!

Dann weiter wie beschrieben....

chris
Ps.: Keine Angst wenn Avenger was nicht findet, passiert auch nichts (ausser das er das meldet )...

Zitat:

Zitat von Chris4You

Hi,

bitte das Avenger script abfackeln (keinesfalls die Pfade für regedit ändern, der richtige liegt im windows-verzeichnis, der falsche im windows\system32-Verzeichnis.

Passe vorher den Pfad noch für die Datei "algqhe.exe" richtig an:
C:/dokumente und einstellungen/***/startmenü/programme/autostart/algqhe.exe (sternchen raus und gegen user ersetzten).
Das ist der Dropper, der nach dem löschen die Trojaner wieder neu runterlädt...

Das Avengerscript sollte dann so aussehen (Sternchen gegen User ersetzen, nicht vergessen!):

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|photo_id
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Regedit32
 
Files to delete:
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\photo_id.exe
C:\dokumente und einstellungen\***\startmenü\programme\autostart\algqhe.exe

Folders to delete:
C:\Programme\Antivirus2008\Antvrs.exe
C:\Dokumente und Einstellungen\***\lokale einstellungen\temp
         

Nach Avenger unbedingt wie beschrieben MAM drüberjagen, wichtig: Fullscann und alles bereinigen lassen!

Dann weiter wie beschrieben....

chris
Ps.: Keine Angst wenn Avenger was nicht findet, passiert auch nichts (ausser das er das meldet )...

---

Du meinst (ich darf doch dutzen?) mit anpassen, den Pfad im
Avanger richtig einfügen..also das hier

Files to delete:
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\photo_id.exe
C:\dokumente und einstellungen\***\startmenü\programme\autostart\algqhe.exe

oder meint man damit was anderes.


Tut mir leid, wenn ich bei so etwas "einfachen" dumm nachfrag,möcht aber nix falsch machen, sodas die bemühung dann von dir/ihnen umsonst war ^^

Hi,

ja, Du musst die Sternchen ("*") im Script gegen den tatsächlichen Pfad (User-Name) ersetzten, damit Avenger den korrekten Pfad hat und die Datei finden und löschen kann...

z. B.
C:\dokumente und einstellungen\***\startmenü\programme\autostart\algqhe.exe
korrigieren in
C:\dokumente und einstellungen\MeinUserName\startmenü\programme\autostart\algqhe.exe

Das trifft auch für den Eintrag
C:\Dokumente und Einstellungen\***\lokale einstellungen\temp

zu.

Dann Avenger starten (wie beschrieben) und weiter alles abarbeiten, Logs posten...

chris

Hat wohl weniger geklappt, so wie die Ergebnismeldung das sagt.
----


Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\regedit.exe" not found!
Deletion of file "C:\WINDOWS\system32\regedit.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\photo_id.exe" not found!
Deletion of file "C:\WINDOWS\system32\photo_id.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\dokumente und einstellungen\***\startmenü\programme\autostart\algqhe.exe" not found!
Deletion of file "C:\dokumente und einstellungen\***\startmenü\programme\autostart\algqhe.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open folder "C:\Programme\Antivirus2008\Antvrs.exe"
Deletion of folder "C:\Programme\Antivirus2008\Antvrs.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Folder "C:\Dokumente und Einstellungen\***\lokale einstellungen\temp" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|photo_id" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Regedit32" deleted successfully.

Completed script processing.

Finished! Terminate.


----

Ist die datei Regedit32 denn eine wichtige Datei für meinen PC ? Wenn nicht, könnt ich die nicht mit CCleaner probieren zu löschen. Ich hab ja nur die Temp dateien gelöscht, wusste aber nicht, das die datei Regedit32 die Trojaner immer erneut auf meinen PC schmeisst. Sonst würd ich das machen und einfach
mit dem Punkt "MAM durchlaufen lassen" einfach dort weitermachen

PS: Dieser "unsername" ist bei mir mein pseudokünstlername. Also nicht mein echter, kann ich beim nächsten mal einfach komplett ohne *** den Locfile etc. posten ^^?


Und hier nochmal ein neues Logfile, falls sich irgendwie was verschoben oder verändert hätte, wieso das mit dem Avenger nicht ging
(das Logfile ist nach dem Durchlaufen und Neustarten des Anvengers durchgeführt worden):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:47:37, on 04.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe
C:\WINDOWS\system32\lxdicoms.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\HP\QuickPlay\QPService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe
C:\WINDOWS\V0230Mon.exe
C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\HiJackThis(2).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2096149
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll
R3 - URLSearchHook: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll
O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll
O3 - Toolbar: StumbleUpon Toolbar - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C:\Programme\StumbleUpon\StumbleUponIEBar.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaze.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [lxdimon.exe] "C:\Programme\Lexmark 3500-4500 Series\lxdimon.exe"
O4 - HKLM\..\Run: [lxdiamon] "C:\Programme\Lexmark 3500-4500 Series\lxdiamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [V0230Mon.exe] C:\WINDOWS\V0230Mon.exe
O4 - HKLM\..\Run: [AVFX Engine] C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [Antivirus] C:\Programme\Antivirus2008\Antvrs.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [photo_id] C:\Dokumente und Einstellungen\***\photo_id.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: algqeh32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203634056703
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - c:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe
O23 - Service: lxdi_device - - C:\WINDOWS\system32\lxdicoms.exe
O23 - Service: Norton Protection Center-Dienst (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe

--
End of file - 12844 bytes


*******************

Hi,

zumindest die Run-Keys wurden entfernt...

Fixe die angegebenen Einträge mit HJ (siehe vorangegangenes Posting), MAM, RSIT und GMER durchführen!

Du hast inzwischen neben Avira, Symantec noch AVG laufen, die stören sich gegenseitig, behalte nur einen, den Rest deinstallieren.

Du hättest auch in diesem Pfad die Sternchen gegen den <usernamen> ersetzen müssen:
C:\Dokumente und Einstellungen\***\lokale einstellungen\temp
Prüfe umgehend nach, was noch unter C:\Dokumente und Einstellungen existiert...

chris

Zitat:

Zitat von Chris4You

Hi,

zumindest die Run-Keys wurden entfernt...

Fixe die angegebenen Einträge mit HJ (siehe vorangegangenes Posting), MAM, RSIT und GMER durchführen!

Du hast inzwischen neben Avira, Symantec noch AVG laufen, die stören sich gegenseitig, behalte nur einen, den Rest deinstallieren.

Du hättest auch in diesem Pfad die Sternchen gegen den <usernamen> ersetzen müssen:
C:\Dokumente und Einstellungen\***\lokale einstellungen\temp
Prüfe umgehend nach, was noch unter C:\Dokumente und Einstellungen existiert...

chris

*lach

keine sorge, die *** hhab ich schon ersetzt, doch es hieß ja immer..das mein beim posting auch den namen ersetzten sollte, also hab ich einfach den künstlernamen bei dem ergebnis auch überschrieben ^^ Also, daran lag es nicht :3 Aber ich werd jetzt einfach die folgenden postings ohne sternchen mehr machen, dann kommt keiner durcheinander und mein realname ist das ja auch nicht ^_~

AVG kann ich gerne deinstallieren, doch bei synmatic, das gehört ja zu dem Sch**** norton, was ich nicht deinstallieren kann, das es sich aufhängt. kann es aber gerne heute nochmals probieren x~X (nur verlangte er damals die orginal-CD zur deinstallation, was ich nicht habe...da der laptop ohne diese kam ^^


doch ich werd gleich die folgenden dinge durchführen :3

Hi,

gut, wenn Avenger die Sternchen als Wildcard nutzt, dann wären nämlich alle eigenen Daten weg gewesen...
Muss mir wohl was anderes überlegen, keine "*" mehr in Scripte, zu gefährlich.

chris
Ps.: Bin jetzt auf dem Weg nachhause...

Zitat:

Zitat von Chris4You

Hi,

gut, wenn Avenger die Sternchen als Wildcard nutzt, dann wären nämlich alle eigenen Daten weg gewesen...
Muss mir wohl was anderes überlegen, keine "*" mehr in Scripte, zu gefährlich.

chris
Ps.: Bin jetzt auf dem Weg nachhause...

---

Vielleicht wär es besser, wenn die Leute statt *** einfach wirklich MUSTERMANN eingeben, dann kann ansich nix schief laufen und ihr merkt gleich, das er es richtig gemacht hat. Und falls jemand wirklich Mustermann mal heißen sollte, merkt das äh keiner

Ich lass gerade Maleware durchlaufen und muss hinzufügen, das ich in dem ordner ...Autostart/Programme/... nicht mehr die datei algqhe.exe
gefunden würde

HOff, das MAM auch postitiven bericht erstattet


Also, ich wünsche dir einen schönen Feierabend *verbeug

Hi,

MAM hat heute seine Engine upgedatet, ev. noch mal ein update machen...

Poste auf jeden Fall das Log...

chris

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3292
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

04.12.2009 20:25:13
mbam-log-2009-12-04 (20-25-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 282596
Laufzeit: 2 hour(s), 49 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\yaichi_san\Desktop\desktop alles\hc.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP478\A0055176.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\yaichi_san\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.



----

Ich füge hinzu, das ich mich gleich erschiesse......nein quatsch. Also, während des Suchlaufes von MAM hat mein Avira wieder folgende Meldungen gebracht!!!



Kann man alle restore datein löschen, die man findet oder zählen die zum wichtigen Teil des betriebssystems? Hab auch versucht, den ordner zu finden..aber der existiert wohl so offiziel für den zugriff wohl nicht ^^?

Hoff jetzt nur nicht, das ich schön langsam zu den akten "ungelöst" fallen werde

Hi,

nein, soweit sind wir noch nicht...

Lass bitte unbedingt noch GMER laufen und poste das Log;

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Danach Avira updaten, wie folgt einstellen und Fullscan:
http://www.trojaner-board.de/54192-a...tellungen.html

Poste die Funde!

Die Datei algqhe.exe taucht in einem Backup auf, kannst Du den komplette Pfad posten...

chris

Zitat:

Zitat von Chris4You

Hi,

nein, soweit sind wir noch nicht...

Lass bitte unbedingt noch GMER laufen und poste das Log;

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Danach Avira updaten, wie folgt einstellen und Fullscan:
http://www.trojaner-board.de/54192-a...tellungen.html

Poste die Funde!

Die Datei algqhe.exe taucht in einem Backup auf, kannst Du den komplette Pfad posten...

chris

Hier der ganze pfad..rest werd ich morgen oder heut abend gleich durchführen