Wurm: C:\windows\system32\x Conficker

Al Pacina · 03.12.2009, 20:29

Hallo,

Antivir zeigt mir immer wieder den Fund C:\windows\system32\x an, kann diesen aber nicht löschen.... egal ob ich das ganze in Quarantäne verschiebe, Lösche... kommt ständig wieder.

Hier ist mein Hijack Logfile:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:29, on 03.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
I:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
I:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prosieben.de/index.php?icqpath=icq
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] I:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "I:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - I:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 7842 bytes

Und hier ist mein Logfile von Anti Malware:

Zitat:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3285
Windows 5.1.2600 Service Pack 2

03.12.2009 16:04:58
mbam-log-2009-12-03 (16-04-58).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 98751
Laufzeit: 6 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\x (Worm.Conficker) -> Delete on reboot.

Das mit dem "delete on reboot" hat auch nich geklappt.
Ich hoffe mir kann jemand helfen. Ich hab leider nicht viel Ahnung und weiß auch nicht inwiefern dieser Wurm nicht nur stört sondern auch gefährlich ist.
Für Hilfe wäre ich sehr dankbar.

kira · 04.12.2009, 08:13

Hallo und Herzlich Willkommen!

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird GMER beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Al Pacina · 06.12.2009, 18:56

Hallo Coverflow,

vielen Dank, dass du dich um mein Problem kümmerst!
Konnte leider am Wochenende gar nichts machen, aber jetzt neu ans Werk.
Ich habe alle Schritte befolgt, allerdings wird die Ausführung von GMER verhindert, es öffnet sich kurz, aber dann kommt nach wenigen Sekunden:
"y14wz2f2.exe hat ein Problem festgestellt und muss beendet werden."

Antivir und Windows Firewall waren deaktiviert und vom Netz getrennt war der Rechner auch.
Scheint ein intelligents Kerlchen zu sein, dieser Wurm.
Vielleicht kannst du trotzdem noch helfen?
Ansonsten muss ich mich meinem Schicksal ergeben und neu aufsetzen.

Hier noch die Filelist der letzten 6 Monate:

Code:

ATTFilter

----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\

06.12.2009  18:40                43 filelist.txt
06.12.2009  18:25     1.605.369.856 pagefile.sys
08.07.2009  10:47               211 boot.ini

              10 Datei(en)  1.605.673.810 Bytes
               0 Verzeichnis(se),  1.424.191.488 Bytes frei
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\WINDOWS

06.12.2009  18:26               159 wiadebug.log
06.12.2009  18:25                50 wiaservc.log
06.12.2009  18:25                 0 0.log
06.12.2009  18:25             2.048 bootstat.dat
04.12.2009  15:51            32.296 SchedLgU.Txt
04.12.2009  15:50            71.315 WindowsUpdate.log
04.12.2009  14:47               116 NeroDigital.ini
30.11.2009  19:54             7.680 Thumbs.db
30.11.2009  19:36           105.748 setupapi.log
23.11.2009  17:50         1.037.060 DPINST.LOG
11.11.2009  15:29               120 setupact.log
03.11.2009  11:24            26.317 wmsetup.log
22.10.2009  15:01                 0 setuperr.log
28.09.2009  13:15           316.640 WMSysPr9.prx
08.07.2009  10:47               745 win.ini
08.07.2009  10:47               227 system.ini

             112 Datei(en)      8.634.624 Bytes
               0 Verzeichnis(se),  1.424.183.296 Bytes frei
 
----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\WINDOWS\system

04.08.2004  00:58           146.944 winspool.drv
04.08.2004  00:37            69.632 mmsystem.dll
25.09.2003  18:26           765.952 crlds3d.dll
18.08.2001  13:00             2.000 KEYBOARD.DRV
18.08.2001  13:00           109.504 AVIFILE.DLL
18.08.2001  13:00            73.760 MCIAVI.DRV
18.08.2001  13:00            25.296 MCISEQ.DRV
18.08.2001  13:00            28.160 MCIWAVE.DRV
18.08.2001  13:00             9.936 LZEXPAND.DLL
18.08.2001  13:00            33.744 COMMDLG.DLL
18.08.2001  13:00             1.152 MMTASK.TSK
18.08.2001  13:00             2.032 MOUSE.DRV
18.08.2001  13:00           127.104 MSVIDEO.DLL
18.08.2001  13:00            82.944 OLECLI.DLL
18.08.2001  13:00            24.064 OLESVR.DLL
18.08.2001  13:00            59.167 setup.inf
18.08.2001  13:00             5.120 SHELL.DLL
18.08.2001  13:00             1.744 SOUND.DRV
18.08.2001  13:00             5.532 stdole.tlb
18.08.2001  13:00             3.360 SYSTEM.DRV
18.08.2001  13:00            19.200 TAPI.DLL
18.08.2001  13:00             4.048 TIMER.DRV
18.08.2001  13:00             9.200 VER.DLL
18.08.2001  13:00             2.176 VGA.DRV
18.08.2001  13:00            13.600 WFWNET.DRV
18.08.2001  13:00            70.368 AVICAP.DLL
              26 Datei(en)      1.695.739 Bytes
               0 Verzeichnis(se),  1.424.183.296 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\WINDOWS\system32

06.12.2009  18:25             2.206 wpa.dbl
30.11.2009  19:36               348 results.txt
24.11.2009  17:57             4.611 jupdate-1.6.0_17-b04.log
24.11.2009  17:56           364.068 perfh009.dat
24.11.2009  17:56            45.742 perfc009.dat
24.11.2009  17:56           371.602 perfh007.dat
24.11.2009  17:56            55.184 perfc007.dat
24.11.2009  17:56           843.816 PerfStringBackup.INI
11.10.2009  04:17           149.280 javaws.exe
11.10.2009  04:17           145.184 javaw.exe
11.10.2009  04:17           145.184 java.exe
11.10.2009  04:17           411.368 deploytk.dll
11.10.2009  02:14            73.728 javacpl.cpl


            2051 Datei(en)    382.431.124 Bytes
               0 Verzeichnis(se),  1.423.994.880 Bytes frei
 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\WINDOWS\Prefetch

06.12.2009  18:40            10.412 FIND.EXE-0EC32F1E.pf
06.12.2009  18:40            13.602 CMD.EXE-087B4001.pf
06.12.2009  18:29            93.928 CHROME.EXE-0EB6E8F5.pf
06.12.2009  18:29            27.322 GOOGLEUPDATE.EXE-2FF4B1BB.pf
06.12.2009  18:27            66.358 AVNOTIFY.EXE-31D7686A.pf
06.12.2009  18:27            60.148 UPDATE.EXE-3398FCD6.pf
06.12.2009  18:27            86.490 NMIndexStoreSvr.exe-1DBCF9FD.pf
06.12.2009  18:27         1.016.062 NTOSBOOT-B00DFAAD.pf
04.12.2009  15:50            47.828 LOGONUI.EXE-0AF22957.pf
04.12.2009  15:27             7.776 RUNDLL32.EXE-451FC2C0.pf
04.12.2009  14:50            14.444 NOTEPAD.EXE-336351A9.pf
04.12.2009  14:48            26.718 WINRAR.EXE-1A0EFB18.pf
04.12.2009  14:47            56.704 ACRORD32INFO.EXE-19B1D743.pf
04.12.2009  14:38            97.682 WINWORD.EXE-0AEA99D4.pf
03.12.2009  21:44            15.122 GUARDGUI.EXE-147E0160.pf
03.12.2009  20:45            43.882 DFRGNTFS.EXE-269967DF.pf
03.12.2009  20:45            14.732 DEFRAG.EXE-273F131E.pf
03.12.2009  20:45           356.720 Layout.ini
03.12.2009  20:26            78.432 WMIPRVSE.EXE-28F301A9.pf
03.12.2009  20:26            18.838 HIJACKTHIS.EXE-39024128.pf
03.12.2009  16:26            33.648 RUNDLL32.EXE-1B6B6E20.pf
03.12.2009  16:23            41.748 RUNDLL32.EXE-4A41998E.pf
03.12.2009  16:23             5.488 CNMSE9E.EXE-1AB094D7.pf
03.12.2009  16:15            58.454 ACRORD32.EXE-2E761392.pf
03.12.2009  15:55            57.002 MBAM.EXE-325FAE38.pf
03.12.2009  15:50            16.990 CCLEANER.EXE-065E2F3F.pf
03.12.2009  15:48            49.138 CHICA.EXE-2E0E6923.pf
03.12.2009  15:48            61.866 RSIT.EXE-01D81F84.pf
03.12.2009  15:46            21.602 REGSVR32.EXE-25EEFE2F.pf
03.12.2009  15:46             7.166 MBAMGUI.EXE-1253A586.pf
03.12.2009  15:46            13.710 MBAM-SETUP.TMP-24D5FFB6.pf
03.12.2009  15:46            13.972 MBAM-SETUP.EXE-0E24E308.pf
03.12.2009  11:29            12.740 GOOGLECRASHHANDLER.EXE-089F24DA.pf
03.12.2009  11:28           250.116 HELPSVC.EXE-2878DDA2.pf
03.12.2009  11:02            56.074 WMIAPSRV.EXE-1E2270A5.pf
03.12.2009  11:02            15.104 ALG.EXE-0F138680.pf
02.12.2009  20:28            73.086 MPNEX20.EXE-197359B3.pf
02.12.2009  20:28            35.506 MPNSCAN.EXE-2AC16F4A.pf
02.12.2009  20:19            23.070 FFMPEG.EXE-03BB1812.pf
02.12.2009  19:41            41.654 FREEYOUTUBEDOWNLOAD.EXE-32B18009.pf
02.12.2009  19:41            31.116 FREESTUDIOMANAGER.EXE-019C2D18.pf
02.12.2009  15:13            91.072 VLC.EXE-2584CE07.pf
02.12.2009  14:49            11.748 FIXCOMPONENTSSILENT.EXE-28D672C8.pf
02.12.2009  14:49            13.694 COMMON.EXE-12E7A197.pf
02.12.2009  14:49            50.322 COMMON.TMP-371F964D.pf
02.12.2009  14:48            19.924 ASKINSTALLCHECKER.EXE-2F70CECA.pf
02.12.2009  14:48            13.094 FREEYOUTUBEDOWNLOAD23366.TMP-11DD82EA.pf
02.12.2009  14:48            15.080 FREEYOUTUBEDOWNLOAD23366.EXE-0D19F6F9.pf
01.12.2009  13:31            59.786 SOFTWAREUPDATE.EXE-1E90DF1F.pf
01.12.2009  13:31            22.788 DLLHOST.EXE-205D880D.pf
30.11.2009  21:49            49.484 MOVIETHUMB.EXE-0A1B91F9.pf
30.11.2009  21:07           129.006 PICASA3.EXE-2F9A2C1C.pf
30.11.2009  21:07            29.144 PICASAUPDATER.EXE-3B7D7F34.pf
30.11.2009  20:02            40.104 IMAPI.EXE-0BF740A4.pf
30.11.2009  19:58            45.810 ADOBE_UPDATER.EXE-059F58EC.pf
30.11.2009  19:49            98.076 MSIEXEC.EXE-2F8A8CAE.pf
30.11.2009  19:31            78.530 PICASAPHOTOVIEWER.EXE-26062FED.pf
25.11.2009  15:06            62.546 JAVA.EXE-2167859B.pf
24.11.2009  17:54            15.336 WMIADAP.EXE-2DF425B2.pf
23.11.2009  17:39            30.814 GOOGLETALKPLUGIN.EXE-33051F01.pf
01.07.2009  15:51            29.500 AVWSC.EXE-3AC95876.pf
              61 Datei(en)      3.978.308 Bytes
               0 Verzeichnis(se),  1.424.076.800 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\WINDOWS\tasks

06.12.2009  18:29             1.208 GoogleUpdateTaskUserS-1-5-21-1220945662-507921405-1957994488-1003UA.job
06.12.2009  18:25                 6 SA.DAT
03.12.2009  11:29             1.156 GoogleUpdateTaskUserS-1-5-21-1220945662-507921405-1957994488-1003Core.job
01.12.2009  13:31               276 AppleSoftwareUpdate.job

               5 Datei(en)          2.711 Bytes
               0 Verzeichnis(se),  1.424.076.800 Bytes frei
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\WINDOWS\Temp

06.12.2009  18:25            16.384 Perflib_Perfdata_4dc.dat
               1 Datei(en)         16.384 Bytes
               0 Verzeichnis(se),  1.424.076.800 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 74FF-7D2C

 Verzeichnis von C:\DOKUME~1\Chica\LOKALE~1\Temp

06.12.2009  18:31           344.710 jusched.log
06.12.2009  18:28                 0 etilqs_3GWGbGSuHitl53Y0Sl30
06.12.2009  18:28            16.400 etilqs_OBxDb2TzeMqxmlrYID5c
06.12.2009  18:27                 0 etilqs_OS0CilVy9auiLLfRFm4w
02.12.2009  20:28             1.065 TWAIN.LOG
02.12.2009  20:28                 3 Twain001.Mtx
02.12.2009  20:28               156 Twunk001.MTX
02.12.2009  14:10            72.950 nps178.tmp
               8 Datei(en)        435.284 Bytes
               0 Verzeichnis(se),  1.424.076.800 Bytes frei

Und meine Programmliste vom CCleaner

Code:

ATTFilter

           
56K MDC Modem
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 9.1.2 - Deutsch
ALPS Touch Pad Driver
Amazon MP3-Downloader 1.0.5
Apple Mobile Device Support
Apple Software Update
ArcSoft PhotoImpression
ASAPI Update
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
Audacity 1.3.7 (Unicode)
Avira AntiVir Personal - Free Antivirus
Benutzerhandbuch für Creative WebCam Vista (Deutsch)
BitTorrent
Bonjour
BrettspielWelt
Canon MP Navigator EX 2.0
Canon MP540 series Benutzerregistrierung
Canon MP540 series MP Drivers
Canon Utilities Easy-PhotoPrint EX
Canon Utilities My Printer
Canon Utilities Solution Menu
CCleaner (remove only)
Corel Applications
DivX Codec
DivX Player
DivX Web Player
DNA
Free YouTube Download 2.3
ftp-uploader
Google Chrome
Google SketchUp 6
HijackThis 2.0.2
ICQ6.5
InterVideo AVControlSDK
InterVideo DeviceService
Java(TM) 6 Update 17
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft Office 2000 Premium
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mobipocket Reader 6.2
Morrowind
Mozilla Firefox (3.0.1)
Nero 7 Demo
OpenOffice.org Installer 1.0
phase5
Picasa 3
QuickTime
Realtek AC'97 Audio
REALTEK Gigabit Ethenet NIC Driver Setup
Skype™ 3.6
Steinberg Cubase VST32
Steinberg WaveLab 5.01b
Teachmaster 4.1 (nur Entfernen)
TES Construction Set
Total Commander (Remove or Repair)
Uninstall 1.0.0.1
VideoLAN VLC media player 0.8.6c
Winamp
Winamp Toolbar
Windows Installer 3.1 (KB893803)
Windows XP Service Pack 2
WinRAR

kira · 07.12.2009, 15:12

hi

entlasten wir zuerst mal dein System:
1.
Wie lange dauert die Startvorgang?
- Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben
- Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen.
"Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK"
it-academy.cc
pqtuning.de
Laden von Programmen beim Start von Windows Vista verhindern
- Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart...
- Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten`
(Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.)
- Falls Du mal brauchst, kannst manuell auch starten
- Autostart-Einträge die Du nicht findest, kannst mit HJT fixen - Unter 04_Sektion - (*HijackThis Tutorial in German*):
Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code:

ATTFilter

Du solltest nicht deaktivieren :
Grafiktreibers
Firewall
Antivirenprogramm
Sound

Da es ist immer Benutzerspezifisch, ein allgemein gültiges Rezept gibt es nicht, finde über Google die Grundfunktionen der einzelnen Programme heraus!
Gleich ein paar Vorschläge:

Code:

ATTFilter

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] I:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [  Malwarebytes Anti-Malware  (reboot)] "I:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Chica\Lokale Einstellungen\Anwendungsdaten\Google\Update\Google Update.exe" /c

2.
- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher solltest Du abschalten:

Code:

ATTFilter

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - I:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe

- unter `Systemsteuerung - Verwaltung - Dienste oder "Ausführen"-> gibst Du in das Dialogfenster den Befehl services.msc -> Ok
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt.

3.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code:

ATTFilter

R3 - URLSearchHook: (no name) - - (no file)

4.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

5.
Lade und installiere das Tool RootRepeal herunter

- setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK"
- nach der Scan, klick auf "Save Report"
- speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread

6.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Al Pacina · 07.12.2009, 22:35

So da wärn wir wieder. Alles erledigt.
Danke auch für die Systementlastungstipps. Ich bin da leider gar nicht fit und bei mir sammelt sich auch einiges auf dem Rechner...
Hier jetzt das Log vom Kaspersky Scan:

Code:

ATTFilter

KASPERSKY ONLINE SCANNER 7.0: scan report
Monday, December 7, 2009
Operating system: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Monday, December 07, 2009 16:55:42
Records in database: 3340390
Scan settings
scan using the following database	extended
Scan archives	yes
Scan e-mail databases	yes
Scan area	My Computer
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\
Scan statistics
Objects scanned	82903
Threats found	3
Infected objects found	24
Suspicious objects found	0
Scan duration	02:30:28

File name	Threat	Threats count
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\byoc[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\ifyv[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\luksak[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\mopbp[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\mopbp[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\mopbp[2].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LKNYJIB\wulcgdos[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\bxgpdal[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\fwpnutfw[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\fwpnutfw[2].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\jrscv[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\oqqnq[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\xjntiyi[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XMFS12F\yuqvktxm[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81QB4TYR\mktope[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81QB4TYR\okcnivw[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81QB4TYR\sflm[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89QBC12J\cjqum[1].gif	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89QBC12J\gizgib[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89QBC12J\kmuznx[1].bmp	Infected: Net-Worm.Win32.Kido.ih	1	
E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx	Infected: Net-Worm.Win32.Kido.ih	1	
E:\autorun.inf	Infected: Net-Worm.Win32.Kido.ir	1	
L:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx	Infected: Net-Worm.Win32.Kido.ih	1	
L:\technisches\Laptop Treiber\11AutoMail\Fngmhlib.dll	Infected: not-a-virus:Monitor.Win32.KeyPressHooker.b	1	
Selected area has been scanned.

E:\ ist mein MP3 Player, L:\ meine Externe Festplatte. Mehr hab ich nicht in Benutzung.
Dieses Recycler Ding ist auch etwas unangenehm, hat soviel ich mitbekommen habe den Zugriff auf die Datenträger über den Arbeitsplatz verhindert. Musste manchmal über die Windows Such in die Ordner rein... Keine Ahnung was das ist...

Scheint einiges im Argen zu sein. Irgendwie poppte letztens auch ein Dropper.Gen auf...
Bin ja gespannt ob und wie's weitergeht

Ich kann mich nur wiederholen: Vielen lieben Dank für deine Mühe!
Liebe Grüße nach Österreich

kira · 08.12.2009, 10:28

hi

Punkt 5. - fehlt noch-> http://www.trojaner-board.de/80012-w...tml#post485521

08.12.2009, 10:28	#6
kira /// Helfer-Team	$Wurm: C:\windows\system32\x Conficker - Standard$ Wurm: C:\windows\system32\x Conficker hi Punkt 5. - fehlt noch-> http://www.trojaner-board.de/80012-w...tml#post485521

Wurm: C:\windows\system32\x Conficker

Plagegeister aller Art und deren Bekämpfung: Wurm: C:\windows\system32\x Conficker