Verdacht auch Virus/Spyware

Hannsy · 08.12.2009, 22:05

Hallo,
Ich habe eben meinen PC mit dem Programm: Malwarebytes' Anti-Malware gescannt. 4 Malware wurden gefunden.

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3322
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

Infizierte Dateien: 4

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe (Adware.ADON) -> No action taken.
C:\Programme\Image-Line\Shared\DSP_IPP\Uninstall.exe (Rootkit.Agent) -> No action taken.
E:\WINDOWS\system32\bszip.dll (Worm.P2P) -> No action taken.
M:\Games\Mario\Emulator\gmaker.exe (Adware.EShoper) -> No action taken.

Ich habe die Dateien mit virustotal untersucht und vermute jetzt, dass es sich bei eBayShortcuts.exe und bszip.dll um einen Virus handeln könnte.

Hier der Log von HighjackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:54:14, on 08.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\ping1w.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\Eraser.exe
C:\Programme\UltraMon\UltraMon.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Apps\2.0\55WMGXH9.RRL\7330BVJW.LGP\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf169ed5c0c1\fritzbox-usb-fernanschluss.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\iTunes\iTunes.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Apps\2.0\55WMGXH9.RRL\7330BVJW.LGP\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf169ed5c0c1\AVMAutoStart.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1210508752
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7036 bytes

Könntet ihr bitte mal meinen log checken?

Falls es sich um ein Virus handeln sollte; wie lösche ich am Besten die Dateien, so das der Virus vollständig beseitigt ist?

Vielen Dank im Voraus!
Gruß Hannsy

cosinus · 09.12.2009, 13:47

Hallo,

Lade dir mal Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!!
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Tayhan · 09.12.2009, 18:28

hallo hannsy ne frage
wie checkt man so eine log

Hannsy · 09.12.2009, 23:16

Hallo Cosinus,

Danke für die schnelle Antwort!

Die Downloadseite für Lop S&D.exe scheint überlastet zu sein. Ich werde es später noch einmal versuchen oder gibt es noch eine weitere Möglichkeit diese Datei zu downloaden? (Hab schon gegooglet :P)

@ Tayhan; Du sorry, ich kenn mich da nicht so aus, sonst würde ich nicht um Hilfe fragen in diesem Forum. Am Besten fragst du einen vom Trojaner-Board Team.

Gruß,
Hannsy

Hannsy · 09.12.2009, 23:33

Jetzt hat es funktioniert.

Hier der Scanbericht:

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : JW ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:93 Go (Free:50 Go)
D:\ (Local Disk) - NTFS - Total:83 Go (Free:50 Go)
E:\ (Local Disk) - FAT32 - Total:9 Go (Free:1 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)
I:\ (USB)
J:\ (USB)
K:\ (USB)
L:\ (USB)
M:\ (Local Disk) - NTFS - Total:298 Go (Free:24 Go)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 09.12.2009|23:23 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[04.02.2004|02:52] C:\DOKUME~1\ADMINI~1\ANWEND~1\Adobe
[04.02.2004|02:52] C:\DOKUME~1\ADMINI~1\ANWEND~1\AdobeUM
[25.02.2008|13:02] C:\DOKUME~1\ADMINI~1\ANWEND~1\Apple Computer
[04.02.2004|01:13] C:\DOKUME~1\ADMINI~1\ANWEND~1\Help
[03.02.2004|19:34] C:\DOKUME~1\ADMINI~1\ANWEND~1\Identities
[04.02.2004|08:48] C:\DOKUME~1\ADMINI~1\ANWEND~1\Macromedia
[04.02.2004|08:46] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
[04.02.2004|08:46] C:\DOKUME~1\ADMINI~1\ANWEND~1\Real
[24.11.2009|20:17] C:\DOKUME~1\ADMINI~1\ANWEND~1\WinRAR
[0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
[11|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

[30.03.2009|18:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
[07.10.2008|14:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[05.05.2009|14:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[12.01.2008|10:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}
[25.10.2009|14:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[13.01.2008|13:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
[13.01.2008|13:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
[13.01.2008|20:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CanonBJ
[20.04.2008|20:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
[15.01.2008|14:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
[03.10.2008|17:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab Setup Files
[02.10.2008|18:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[04.04.2009|11:11] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[09.12.2009|18:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
[13.01.2008|13:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MSN6
[11.10.2009|15:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Norton
[21.08.2009|17:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NortonInstaller
[25.02.2009|15:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Realtime Soft
[03.02.2004|19:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SBSI
[10.03.2009|22:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
[09.08.2009|20:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
[11.10.2009|16:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec
[10.05.2009|12:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
[01.08.2009|13:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ubisoft
[21.02.2008|14:38] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[12.01.2008|22:17] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[28|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[03.02.2008|10:20] C:\DOKUME~1\Besitzer\ANWEND~1\Real
[0|Datei(en)] C:\DOKUME~1\Besitzer\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\Besitzer\ANWEND~1\Bytes frei

[04.02.2004|02:52] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Adobe
[04.02.2004|02:52] C:\DOKUME~1\DEFAUL~1\ANWEND~1\AdobeUM
[25.02.2008|13:02] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Apple Computer
[04.02.2004|01:13] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Help
[03.02.2004|19:34] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Identities
[04.02.2004|08:48] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Macromedia
[04.02.2004|08:46] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[04.02.2004|08:46] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Real
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[10|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[06.12.2009|17:02] C:\DOKUME~1\JW\ANWEND~1\.purple
[14.03.2008|13:22] C:\DOKUME~1\JW\ANWEND~1\AD ON Multimedia
[04.04.2008|16:24] C:\DOKUME~1\JW\ANWEND~1\Adobe
[27.02.2008|22:12] C:\DOKUME~1\JW\ANWEND~1\AdobeUM
[07.07.2008|20:24] C:\DOKUME~1\JW\ANWEND~1\Ahead
[18.08.2009|21:04] C:\DOKUME~1\JW\ANWEND~1\Apple Computer
[19.10.2009|21:59] C:\DOKUME~1\JW\ANWEND~1\ATI
[10.01.2009|19:47] C:\DOKUME~1\JW\ANWEND~1\Cuttermaran
[04.03.2008|09:04] C:\DOKUME~1\JW\ANWEND~1\CyberLink
[20.10.2009|17:05] C:\DOKUME~1\JW\ANWEND~1\Deckadance
[03.02.2008|09:08] C:\DOKUME~1\JW\ANWEND~1\Google
[25.10.2009|15:01] C:\DOKUME~1\JW\ANWEND~1\gtk-2.0
[05.09.2009|13:19] C:\DOKUME~1\JW\ANWEND~1\Hamachi
[04.02.2004|01:13] C:\DOKUME~1\JW\ANWEND~1\Help
[01.07.2008|20:50] C:\DOKUME~1\JW\ANWEND~1\ICQ
[13.01.2008|13:14] C:\DOKUME~1\JW\ANWEND~1\ICQLite
[03.02.2004|19:34] C:\DOKUME~1\JW\ANWEND~1\Identities
[13.04.2009|14:55] C:\DOKUME~1\JW\ANWEND~1\Juce VST Host
[24.05.2009|23:02] C:\DOKUME~1\JW\ANWEND~1\Lasersoft Imaging
[04.02.2004|08:48] C:\DOKUME~1\JW\ANWEND~1\Macromedia
[02.10.2008|18:20] C:\DOKUME~1\JW\ANWEND~1\Malwarebytes
[11.04.2009|08:07] C:\DOKUME~1\JW\ANWEND~1\Microsoft
[28.04.2009|20:32] C:\DOKUME~1\JW\ANWEND~1\Miranda
[08.05.2009|21:37] C:\DOKUME~1\JW\ANWEND~1\Mozilla
[24.11.2009|19:15] C:\DOKUME~1\JW\ANWEND~1\Mp3tag
[04.04.2009|11:57] C:\DOKUME~1\JW\ANWEND~1\MSN6
[03.02.2008|10:20] C:\DOKUME~1\JW\ANWEND~1\Real
[25.02.2009|15:26] C:\DOKUME~1\JW\ANWEND~1\Realtime Soft
[22.02.2009|12:44] C:\DOKUME~1\JW\ANWEND~1\Search Settings
[30.11.2009|19:24] C:\DOKUME~1\JW\ANWEND~1\Skype
[26.02.2008|16:38] C:\DOKUME~1\JW\ANWEND~1\Symantec
[12.09.2009|14:09] C:\DOKUME~1\JW\ANWEND~1\teamspeak2
[01.08.2009|13:43] C:\DOKUME~1\JW\ANWEND~1\Ubisoft
[18.09.2008|21:11] C:\DOKUME~1\JW\ANWEND~1\Uniblue
[03.08.2009|01:12] C:\DOKUME~1\JW\ANWEND~1\vlc
[12.01.2008|23:49] C:\DOKUME~1\JW\ANWEND~1\WinRAR
[0|Datei(en)] C:\DOKUME~1\JW\ANWEND~1\Bytes
[38|Verzeichnis(se),] C:\DOKUME~1\JW\ANWEND~1\Bytes frei

[13.03.2008|18:28] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[03.02.2004|19:36] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[18.08.2009 10:37][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[29.08.2002 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini
[09.12.2009 22:52][--ah-----] C:\WINDOWS\tasks\SA.DAT

--------------------\\ Ordner Verzeichnis unter C:\Programme

[07.01.2009|22:41] C:\Programme\Adobe
[23.01.2008|19:20] C:\Programme\Ahead
[11.10.2009|15:47] C:\Programme\AntiTwin
[01.10.2008|13:10] C:\Programme\Apple Software Update
[10.10.2008|11:20] C:\Programme\ArKaosVJlite2.2.2
[02.06.2008|21:25] C:\Programme\ASIO4ALL v2
[28.04.2009|20:43] C:\Programme\Aspell
[19.10.2009|22:17] C:\Programme\ATI Technologies
[30.03.2009|18:21] C:\Programme\Bonjour
[30.11.2009|16:49] C:\Programme\Bridge Builder
[04.02.2004|01:34] C:\Programme\CA
[13.01.2008|20:10] C:\Programme\Canon
[13.01.2008|20:08] C:\Programme\CanonBJ
[12.02.2009|15:59] C:\Programme\CCleaner
[10.05.2009|10:36] C:\Programme\Classic Menu for Office
[04.02.2004|01:14] C:\Programme\C-Media 3D Audio
[04.02.2004|01:48] C:\Programme\Common Files
[03.02.2004|19:32] C:\Programme\ComPlus Applications
[20.04.2008|20:05] C:\Programme\CyberLink
[05.01.2009|14:52] C:\Programme\DComSoft
[08.07.2008|16:31] C:\Programme\directx
[19.10.2009|21:46] C:\Programme\Driver Sweeper
[01.03.2008|23:07] C:\Programme\EA Games
[12.01.2008|10:09] C:\Programme\Eraser
[10.06.2008|10:34] C:\Programme\Flash Rip Or Play V3.2.0
[20.08.2008|12:56] C:\Programme\FLV Player
[15.01.2008|14:28] C:\Programme\FolderSize
[22.02.2009|12:59] C:\Programme\Free FLV Converter
[13.01.2008|21:42] C:\Programme\FRITZ!Box
[20.08.2008|08:24] C:\Programme\FRITZ!BoxPrint
[11.10.2009|15:45] C:\Programme\Gemeinsame Dateien
[13.12.2008|22:27] C:\Programme\GIMP-2.0
[25.07.2008|20:54] C:\Programme\Google
[27.11.2008|17:47] C:\Programme\GTASA-Ultimate Editor
[04.02.2004|02:17] C:\Programme\HighMAT CD Writing Wizard
[20.04.2008|20:05] C:\Programme\Home Cinema
[20.06.2009|21:48] C:\Programme\ICQ6
[20.06.2009|21:49] C:\Programme\ICQ6.5
[13.03.2008|22:53] C:\Programme\iDump
[02.06.2008|21:57] C:\Programme\Image-Line
[19.10.2009|21:56] C:\Programme\InstallShield Installation Information
[03.02.2004|20:08] C:\Programme\Intel
[09.12.2009|18:20] C:\Programme\Internet Explorer
[02.08.2009|16:21] C:\Programme\iPod
[02.08.2009|16:22] C:\Programme\iTunes
[26.01.2009|17:51] C:\Programme\LangerSoft
[21.07.2008|21:43] C:\Programme\LaserSoft
[05.01.2009|14:50] C:\Programme\Liatro
[08.12.2009|18:33] C:\Programme\Malwarebytes' Anti-Malware
[17.02.2008|18:42] C:\Programme\MathProf
[15.05.2009|09:54] C:\Programme\M-Audio USB Keyboard Device
[11.05.2008|16:57] C:\Programme\MediaMonkey
[04.02.2004|02:59] C:\Programme\Medion Tools
[06.03.2009|13:24] C:\Programme\Messenger
[04.04.2009|11:11] C:\Programme\Microsoft
[30.01.2009|22:04] C:\Programme\microsoft frontpage
[04.04.2009|08:12] C:\Programme\Microsoft Office
[04.04.2009|08:12] C:\Programme\Microsoft Works
[13.01.2008|09:12] C:\Programme\Microsoft Works Suite 2004
[04.04.2009|08:11] C:\Programme\Microsoft.NET
[21.07.2008|22:07] C:\Programme\Microtek
[26.08.2008|12:25] C:\Programme\Movie Maker
[09.12.2009|23:21] C:\Programme\Mozilla Firefox
[24.11.2009|19:15] C:\Programme\Mp3tag
[21.02.2008|15:25] C:\Programme\MSBuild
[04.04.2009|11:57] C:\Programme\MSN
[03.02.2004|19:32] C:\Programme\MSN Gaming Zone
[23.02.2008|01:41] C:\Programme\MSXML 6.0
[26.08.2008|12:20] C:\Programme\NetMeeting
[11.10.2009|15:45] C:\Programme\Norton 360 Online
[11.10.2009|15:48] C:\Programme\Norton Security Scan
[04.02.2004|08:22] C:\Programme\Nullsoft
[03.02.2004|19:32] C:\Programme\Online Services
[03.02.2004|19:33] C:\Programme\Online-Dienste
[08.12.2009|18:35] C:\Programme\OSA Kit Pro Player v4.0
[13.08.2009|23:37] C:\Programme\Outlook Express
[26.05.2008|17:34] C:\Programme\Outsim
[17.04.2008|17:44] C:\Programme\PhysProf
[28.04.2009|20:42] C:\Programme\Pidgin
[09.12.2009|17:58] C:\Programme\PokerStars
[29.04.2008|18:20] C:\Programme\Porrasturvat - Stair Dismount
[18.03.2009|14:14] C:\Programme\QIP
[02.08.2009|16:20] C:\Programme\QuickTime
[04.02.2004|08:21] C:\Programme\Real
[21.02.2008|15:23] C:\Programme\Reference Assemblies
[22.02.2009|12:42] C:\Programme\Search Settings
[10.03.2009|22:29] C:\Programme\Security Task Manager
[09.08.2009|20:36] C:\Programme\Skype
[17.10.2009|13:35] C:\Programme\Swf2Avi
[21.01.2008|17:02] C:\Programme\Teamspeak2_RC2
[23.09.2008|19:58] C:\Programme\Trend Micro
[25.02.2009|15:25] C:\Programme\UltraMon
[04.02.2004|02:12] C:\Programme\Uninstall Information
[02.08.2009|23:08] C:\Programme\VideoLAN
[04.02.2004|08:22] C:\Programme\Viewpoint
[10.10.2008|18:05] C:\Programme\VstPlugins
[04.02.2004|01:32] C:\Programme\Winbond Electronics Corp
[03.02.2004|19:47] C:\Programme\Windows Journal Viewer
[04.04.2009|15:34] C:\Programme\Windows Live
[04.04.2009|11:11] C:\Programme\Windows Live SkyDrive
[12.03.2008|22:57] C:\Programme\Windows Media Connect 2
[26.08.2008|12:20] C:\Programme\Windows Media Player
[26.08.2008|12:20] C:\Programme\Windows NT
[12.01.2008|10:12] C:\Programme\WindowsUpdate
[12.01.2008|23:49] C:\Programme\WinRAR
[03.02.2004|19:34] C:\Programme\xerox
[22.02.2009|13:06] C:\Programme\XMedia Recode
[0|Datei(en)] C:\Programme\Bytes
[109|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[25.10.2009|14:56] C:\Programme\Gemeinsame Dateien\Adobe
[23.01.2008|19:20] C:\Programme\Gemeinsame Dateien\Ahead
[04.02.2004|08:21] C:\Programme\Gemeinsame Dateien\aol
[02.08.2009|16:21] C:\Programme\Gemeinsame Dateien\Apple
[04.02.2004|01:32] C:\Programme\Gemeinsame Dateien\Borland Shared
[13.01.2008|09:26] C:\Programme\Gemeinsame Dateien\Designer
[03.02.2004|19:32] C:\Programme\Gemeinsame Dateien\Dienste
[28.04.2009|20:42] C:\Programme\Gemeinsame Dateien\GTK
[15.01.2008|14:23] C:\Programme\Gemeinsame Dateien\InstallShield
[05.04.2009|00:12] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[03.02.2004|19:32] C:\Programme\Gemeinsame Dateien\MSSoap
[03.02.2004|19:30] C:\Programme\Gemeinsame Dateien\ODBC
[03.02.2008|10:20] C:\Programme\Gemeinsame Dateien\Real
[25.02.2009|15:25] C:\Programme\Gemeinsame Dateien\Realtime Soft
[03.02.2004|19:30] C:\Programme\Gemeinsame Dateien\SpeechEngines
[17.03.2009|17:48] C:\Programme\Gemeinsame Dateien\SWF Studio
[11.10.2009|16:14] C:\Programme\Gemeinsame Dateien\Symantec Shared
[26.08.2008|12:20] C:\Programme\Gemeinsame Dateien\System
[04.04.2009|11:08] C:\Programme\Gemeinsame Dateien\Windows Live
[12.01.2008|22:20] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[22|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 37 Processes )

iexplore.exe ~ [PID:128]
iexplore.exe ~ [PID:600]

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER

--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-09 23:24:49
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 1

--------------------\\ Suche nach anderen Infektionen

Kein anderen Infektionen gefunden !

[F:2][D:0]-> C:\DOKUME~1\JW\LOKALE~1\Temp
[F:1][D:0]-> C:\DOKUME~1\JW\Cookies
[F:2][D:1]-> C:\DOKUME~1\JW\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 09.12.2009|23:22 - Option : [1]
2 - "C:\Lop SD\LopR_2.txt" - 09.12.2009|23:25 - Option : [1]

--------------------\\ Scan beendet um 23:25:40

Gruß Hannsy

cosinus · 10.12.2009, 10:07

Und weiter gehts: Bitte diese Liste beachten und abarbeiten. (MalwareBytes bitte nochmal mit aktuellen Signaturen ausführen und beim Scan auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ))

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hannsy · 11.12.2009, 00:40

Jetzt sind es plötzlich 6 infizierte Dateien, seltsam.

Hier der mban-log:

http://www.file-upload.net/download-2071011/mbam-log-2009-12-11--00-29-35-.txt.html

Nochmal vielen Dank für seine Hilfe!

Gruß Hannsy

Hannsy · 14.12.2009, 21:39

Sorry, ich hatte vergessen die Logfiles zu zippen. Ich habe dir jetzt noch zusätzlich die Logs von RSIT* hinzugefügt. (war mir nicht sicher ob ich das auch machen sollte :P )
(CCleaner habe ich auch ausgeführt)

http://www.file-upload.net/download-2079346/Logfiles.zip.html

Hoffe das Problem hat sich jetzt behoben.
Nochmals vielen Dank für *Deine* Hilfe!

Gruß Hannsy

cosinus · 14.12.2009, 22:16

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

registry keys to delete:
HKLM\software\microsoft\shared tools\msconfig\startupreg\Ping1w

files to delete:
C:\WINDOWS\—_‚³‚Ü.INI
C:\DOKUME~1\JW\LOKALE~1\Temp\gel90xne.sys
C:\WINDOWS\ping1w.exe
C:\WINDOWS\system32\drivers\EagleNT.sys

drivers to delete:
gel90xne
EagleNT

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Hannsy · 15.12.2009, 20:11

Hier der LogFile von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
h***p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\—_‚³‚Ü.INI" deleted successfully.

Error: file "C:\DOKUME~1\***\LOKALE~1\Temp\gel90xne.sys" not found!
Deletion of file "C:\DOKUME~1\***\LOKALE~1\Temp\gel90xne.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\ping1w.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\drivers\EagleNT.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\EagleNT.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "gel90xne" deleted successfully.
Driver "EagleNT" deleted successfully.
Registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\Ping1w" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Gruß Hannsy

cosinus · 15.12.2009, 20:17

Ok. Mach mal bitte einen Kontrollscan mit MalwareBytes (aktuelle Signaturen!)

Hannsy · 16.12.2009, 22:59

Hier der Log von MalwareBytes:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3322
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.12.2009 22:48:43
mbam-log-2009-12-16 (22-48-43).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|M:\|)
Durchsuchte Objekte: 367384
Laufzeit: 2 hour(s), 11 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Sieht gut aus oder?

Vielen Dank nochmals! Ich bin froh, dass es das Trojaner-Board Form gibt! Keep it up!

Gruß Hannsy

15.12.2009, 20:17	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verdacht auch Virus/Spyware Ok. Mach mal bitte einen Kontrollscan mit MalwareBytes (aktuelle Signaturen!) __________________ Logfiles bitte immer in CODE-Tags posten

Verdacht auch Virus/Spyware

Log-Analyse und Auswertung: Verdacht auch Virus/Spyware