Hallo,

ich habe mal wieder ein Problem mit meinem Rechner. Und zwar hat sich vor kurzem mein Antivir gemeldet mit: Die Datei *** in C:/Dokumente und Einstellungen/user/Lokale Einstellungen/Temp ist mit dem Trojaner TR/PCK.Tdss.Z.645 infiziert.
Es waren mehrere verschiedene Dateien, die da nacheinander aufgetaucht sind. Ich habe mit Antivirus immer Zugriff verweigern angeklickt.
Nun habe ich das Problem, dass noch ein zweiter Trojaner: Autoit gemeldet wird.
Wenn ich jetzt meinen Firefox aufmache werden automatisch gleich mehrere neue Fenster geöffnet, die dann jeweils 5 Tabs haben:
http://w*w.xn--uda.com/R
file:///C:/Programme/Mozilla%20Firefox/ das hier 3 mal
http://w*w.xn--j-9ja6e3a934a.com/

Die Fenster werden zum Teil schneller geöffnet, als man mit schließen nachkommt

Ich habe jetzt HijackThis verwendet und das Protokoll auch angehängt.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:06:02, on 03.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\PDFDrucker\PDFPrintBackend.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Toolbars\Shared\SkypeNames.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [SfWinStartInfo] "C:\Programme\SFirm32\sfWinStartupInfo.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\PDFDrucker\PDFPrintBackend.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: QIP 2005 - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - C:\Programme\QIP\qip.exe (file missing) (HKCU)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

--
End of file - 4053 bytes
         

Ich hoffe mal, dass mir geholfen werden kann. Ich hab mir auchschon überlegt zu formatieren und würde das immer noch am ehesten machen, wenn ich mir sicher wäre, dass danach alles weg ist. Ich habe nämlich noch 2 weitere Partitionen, die ich nicht formatieren möchte.

vielen Dank im Vorraus
viele Grüße
Marzl

Hallo,

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hey,

viele Dank für die schnelle Antwort!!

Ich habe die logfiles als ein .rar gepackt und hochgeladen.

hier der link: http://www.file-upload.net/download-2055389/logs.rar.html

das von malewarebytes antimaleware ist doppelt dabei, weil ich es heute mittag schonmal ausgeführt hatte und jetzt nochmal, weil ich mir nicht sicher war ob es schlimm ist, wenn so viel Zeit dazwischen liegt.

Beim zweiten mal gab es allerdings keinen Fund mehr.

viele Grüße
Marzl

Die info.txt fehlt, bitte nachreichen!

Code: Alles auswählenAufklappen

ATTFilter

2009-12-03 11:52:55 ----SD---- C:\ComboFix
2009-12-03 11:52:03 ----D----- C:\Qoobox
         

Hast Du gestern auf eigene Faust Combofix ausgeführt? Solltest Du nicht tun, sondern nur wenn das hier ein Kompentenzler angewiesen hat! Poste dann wenigstens das Logfile von CF!

Zitat:

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PCMMKLRM 1.0.1.41\StartService.exe

Diese Datei bitte bei Virustotal.com auswerten lassen und den Ergebnislink posten.

Hey,


nein ich habe Combofix nicht ausgeführt. Ich hatte nur das Programm von einem älteren Problem noch auf dem Rechner und hab es ausversehen aufgemacht (lag in dem gleichen Ordner wie mbam), habe es dann aber gleich wieder abgebrochen. Ich hoffe mal dadurch nichts kaputt gemacht zu haben.

Ich habe nämlich gerade eben versucht den Rechner hochzufahren, er kommt aber nur bis zum Windows Start Screen und fängt dann wieder von vorn an mit Booten.

Ich werde heute mittag einfach mal eine Linux-CD reinschieben und dann die Datei testen lassen. Oder gibt es eine bessere/einfachere Methode?

viele Grüße
Marzl

Hey,

ich wollte nur kurz sagen, dass sich das Problem quasi gelöst hat. Als ich den Rechner wieder starten wollte ging gar nichts mehr, und ich habe dann festgestellt, dass wohl die Partitionstabelle gelöscht war. Ich habe dann unter Linux mit dem Programm testdisk die Daten sogar wieder gefunden und auf eine externe Platte kopiert. Danach mit einem Virenscanner durchgechekt und dann die Platte komplett platt gemacht (mit shred). Danach wieder alle Daten drauf und Windows neu installiert...Jetzt geht wieder alles ohne Virus

trotzdem nochmals vielen Dank
viele Grüße Marzl